企業管理數位足跡和資料隱私的六個祕訣

新的一年一開始就出現了關於超過20億筆來自過去多年資料外洩事件的大規模使用者帳密資料流出的報告。這份資料(稱為「Collection #1」)包括了純文字格式的使用者帳密及敏感文件,全部為87GB。據報在12月的最後一周就可以下載,在駭客論壇上被積極地交流著。某些報告指出將會有更多資料包在網路上公布和販賣,每份都有比第一份更多的個人帳密和敏感資料。Collection #1已經被拿掉,但對許多資料被流出的人來說,造成的影響才正要開始

[延伸閱讀:資料外洩101:它如何發生,被偷了什麼及會流到哪裡去]

Collection #1包含了超過7億筆不重複的電子郵件地址和超過2,100萬筆的明文密碼。有了這些資料,線上惡意活動可能會跨界成線下的犯罪活動。如果使用者在不同網站使用了相同帳密,那Collection #1將會造成很大的傷害。從社交工程social engineering )攻擊(如網路釣魚(Phishing)和詐騙)到身份竊盜和勒索郵件,個人甚至於企業的損失都會呈等比級數增加。發生資料外洩事件的企業不僅可能因GDPR或其他法規而被罰款,還可能會失去客戶的信任、收益和商譽。個人也會成為詐騙和網路攻擊的目標,且因為不安全感而讓自己在網路上的活動受限。

現在越來越多的新科技讓人們可以無時無刻的保持連線,也因此製造了大量的數位足跡和資料儲存,網路犯罪分子的攻擊媒介也在增加。這代表使用者和企業都必須優先考慮網路隱私和資料安全。

[延伸閱讀:2018年的三大資安故事]

企業的積極保護措施

企業仍是網路犯罪份子想獲取最大利潤的首選目標。一次成功的企業系統入侵事件就讓駭客有可能存取到資料的寶庫:內部伺服器、專有資料、公司資產、第三方供應商和客戶記錄。以下是企業保護資料及使用者和客戶隱私的六個做法和原則:

  1. 讓公司內的每個人都了解所實施的網路安全政策和程序。例如,員工的個人裝置應該只能連到專用的BYOD網路,或是只用公司配發的電腦來進行遠端工作。進行網路安全意識計劃來確保合規性。
  2. 為需要遠端連上公司系統的員工提供VPN(虛擬專用網路)。讓他們能夠連到辦公室,且在使用公司伺服器時有多一層的保護。安裝雙因子身份認證來防止未經授權的連線。
  3. 進行網路分段資料分類,並且安裝防火牆。網路分段意思是為不同的功能或裝置類型分配不同的網路。它讓IT管理員有更好的能見度來監控網路各元件和流量,同時在必要時啓動它們來保護、移除或安裝各個網段。資料分類意思是將資料集從價值低到高進行分類,並且限制能夠存取不同重要級別的人員。同時也讓企業評估哪些資料集需要更多層的保護,最大程度地降低入侵事件所帶來的損害。防火牆是典型的第一層防護,可以根據管理員的預先設定來篩選外部系統進入內部網路的資料,分析資料來拒絕惡意資料。
  4. 遵循資料最少化或是只收集特定目的所需資料的原則。公司應該只收集和處理最少量的客戶資料,並且只儲存在一定的時間內。在做好定期備份資料及遵守3-2-1 備份原則時,資料最少化是有幫助的,它可以提高儲存效率,並且更好地保護、管理和組織現有資料。
  5. 在計畫或產品開發的早期階段就將隱私設計等安全原則考慮進來。隱私設計(privacy by design)指得是無論在內部或外部處理個人資料,從建立到實作最重要的是安全性,將數位資產的安全防護列為優先,預設就考量到隱私防護。擬匿名化(pseudonymization) ,一種防止資料所有者被識別的方法,可以用來保護使用者的隱私,能夠在設計階段就建立。另一個例子是為使用者加入其他認證機制,例如在網站和應用程式上實作雙因子身份認證(2FA)。
  6. 防護網路、伺服器、閘道和端點。確保所有系統都有定期下載修補程式。安裝提供多層次防護和輕鬆管理修補程式的安全解決方案。

[延伸閱讀:透過託管式偵測及回應來彌平網路安全漏洞]

使用者的資料隱私

使用者也需要對自己的網路隱私負責。雖然企業要對其收集的資料負責,但使用者仍應遵循以下四個最佳實作,最大程度地降低隱私和安全風險:

  1. 為自己的個人資料進行數位追蹤。列出你有留下個人資料、銀行資訊和其他可識別資料的所有網站、應用程式和表格。這可能既繁瑣又耗時,但知道並記住擁有你資料的大多數企業可以讓你了解需要更新、刪除或變更哪些帳密。
  2. 可以的話,在擁有你個人檔案和PII的所有線上平台啟用除了密碼以外的2FA或多層次安全解決方案。擁有線上平台的公司(如銀行和社群媒體)現在多半都會提供多種驗證方式(如一次性密碼(OTP))。切勿與其他人分享你的OTP或2FA認證資訊,即使他們聲稱自己是公司員工。如果你認為自己的銀行資料已被外洩,請檢查對帳單是否有未經授權的費用,並立即通知你的銀行。
  3. 你還可以遵循資料最少化的原則。每當你啟用或註冊新的網路帳號(如社群媒體)時,請限制所提供或公開的資料數量和類型。請記住,公司可能會與許多第三方廠商(從網站到應用程式)分享使用者資料,這可能代表他們也能夠存取你在個人檔案和註冊頁面所提供的資料。當使用或整合應用程式時,務必閱讀隱私政策並檢查應用程式權限。
  4. 聰明而巧妙地管理密碼。經常變更密碼並盡可能地複雜。這能夠防止駭客透過簡單的預設密碼就輕易地進入你的帳號。變更設備的預設帳密(從路由器到行動裝置)。

[延伸閱讀:平衡安全和公共利益:GDPR和公共部門]

當資料成為貨幣的時代,而且我們也更加地互相連結時,駭客會利用所有可用的資源來獲取資料並將其轉成利潤。科技正以更快的速度進步和發展著,但製造商仍然只想著要推出更多改進的新版本,而將安全性放到事後再說。正如我們對2019年的預測中所說,隨著網路犯罪分子越來越傾向於從惡意活動中獲利,資料流出(如Collection #1)將會變得更加普及。使用者和企業必須攜手保護自己及資料。企業不僅要保護公司資料,還要保護客戶的資料,不僅要管理自己的數位足跡,還要管理使用者的資料。另一方面,使用者必須對自己的網路安全負責,做一個負責任的數位公民來實現安全的連線。

[延伸閱讀:用你的資料來對付你:網路犯罪的新常態?]

@原文出處:Managing Digital Footprints and Data Privacy