我們常常聽到企業的資料外洩事件引起軒然大波。當業務機密及客戶的資料外洩,會給企業帶來致命的傷害。本文將從分享文件時、使用雲端服務時以及遠端工作時等3種不同情境出發,介紹因員工輕忽所引起的資料外洩常見案例及其預防策略。
攸關公司存亡的資料外洩風險
聽到企業的資料外洩時,一般是不是都會先聯想到源於網路攻擊的惡意入侵呢?然而,其實不少資料外洩事件都是由於員工的疏忽或缺乏相關知識所造成。如果使用電腦或網路時過於輕率,導致嚴重的資料外洩事件發生,會引發什麼後果呢?不僅當事人及公司的信用會蕩然無存,也可能對業績造成負面影響。
雖然剛才粗略地提到資料外洩起因於員工所引起的過失,但實際內容其實相當繁多。本次將針對「分享文件時」、「使用雲端服務時」及「遠端工作時」等3種情境,說明容易發生資料外洩的常見案例及其預防策略。
情境1:分享文件時
在商務場合,應常常會需要使用Microsoft Office(Word、Excel、PowerPoint)等軟體製作文件並寄送給客戶及外部人士。此時,除了文件內容外,也應檢查文件的屬性資訊(如「作者」、「上次存檔者」、「標題」、「主旨」、「標籤」、「建立日期」等屬性資訊)及隱藏資訊(如「註解」、「追蹤修訂」、「版本」、「附註」、「隱藏文字」等)。如果不小心將殘留上述資訊的文件寄至公司外部,就可能會造成資料外洩。
在Microsoft Office中,可使用「檢查文件」功能,刪除儲存於文件檔案中的所有不必要資訊:
若要開啟文件檢查:
- 選擇 [檔案] 索引標籤,然後選擇 [資訊。
- 選擇 [檢查問題。
- 選擇 [檢查文件]。
使用 [文件檢查] 對話方塊以選取要在文件中搜尋之資料的類型。
當模組完成檢查時,文件檢查] 對話方塊中顯示每個模組的結果。 如果指定模組找得到資料,則對話方塊中會包含可按一下來移除資料的 [全部移除] 按鈕。如果模組找不到資料,則對話方塊會顯示可達到該效果的訊息。 (如下圖)
如果您選擇移除指定模組的資料,對話方塊會顯示描述性文字表示作業是否成功。 如果文件檢查作業期間發生錯誤,模組會被標記,顯示錯誤訊息,並將資料並不會變更該模組。
(以上文件檢查資訊來源:https://docs.microsoft.com/zh-tw/office/vba/library-reference/concepts/using-the-document-inspector)
此外,使用Microsoft Office中的「另存新檔」功能製作PDF檔時,PDF文件會直接沿用Office文件的屬性資訊。因此,請記得刪除Office文件中不需要的屬性資訊再轉存成PDF檔,或在儲存時將選項中的「包括非列印資訊」項目取消勾選。
情境2:使用雲端服務時
不應貪圖方便,而擅自在工作地點使用個人雲端服務作業。舉例來說,儘管需要與客戶傳輸大量業務資料等時,雲端儲存空間相當方便,但只要使用雲端服務,就總伴隨著資料外洩的風險。免費郵件服務也一樣。請不要為了想於外出時或在私人手機上確認工作郵件,而擅自將郵件轉寄至免費郵件信箱。在雲端上的工作資料可能會由於服務業者的人為疏失或網路攻擊等原因而外流。如果因違反公司規定而導致資料外洩,不但會受到懲處,還可能會被要求賠償損失。
即便使用工作地點所認可的雲端服務,也千萬不可大意。除了功能及規格外,使用時也應充分理解使用條款的內容(上傳資料的運用、保密、對第三方的業務委託、補償範圍、禁止事項等),否則可能會發生意料之外的資料外洩事件。過去也曾發生過有人使用雲端翻譯網站翻譯文章,結果其他使用者卻能夠瀏覽該文章的事件。原因是那位人士在使用該服務時,並未取消勾選允許翻譯結果儲存在服務業者伺服器的選項。
此外,就算使用條款寫著「經上傳之資料僅為改善服務之用」,也無法保證資料不會被運用在其他目的上。請在心中謹記,上傳到雲端的資料將脫離使用者的掌控,再判斷是否要使用該服務。
🔴 延伸閱讀
情境3:遠端工作時
目前工作地點不受限的遠端工作方式已經越來越普及。然而,由於工作地點不同於高安全性的辦公室,資料外洩的風險也會相對提高。
大部分的人可能會想在辦公室以外的場所使用習慣的私人電腦來工作。然而,未經公司允許就使用私人裝置工作相當危險。一般來說,公司所提供的工作用裝置會有較完善的惡意軟體防護及資料外洩防護,而私人裝置的安全性等級則取決於使用者的知識及道德意識。使用安全性不足的私人裝置工作時,或許會因感染惡意軟體或在釣魚網站輸入資訊等原因而導致資訊外洩。
此外,在家裡以外的場所遠端工作時,可能會使用公共Wi-Fi,但有一些公共Wi-Fi熱點會為了使用者方便,而設定無需密碼認證即可連上網路,或由於未妥善設定,導致在同一網路內的裝置能互相通訊。如果使用這樣的公共Wi-Fi熱點,可能會導致通訊內容遭到惡意第三方窺視。不得不連至公共Wi-Fi時,請遵循公司所指定的方法及步驟,例如使用VPN軟體等。
在公共場合使用電腦作業時,必須避免因偷窺而造成的資料外洩。至少必須採取在裝置畫面上裝設防窺片(防窺保護貼)、背對牆壁、留意周遭視線等對策。此外,使用電腦作業時如須中途離席,除應小心裝置遭到偷竊外,即便只是短暫離席,也務必要開啟螢幕鎖定。此為藉由將電腦畫面切換成專用的鎖定畫面,以避免工作內容遭到第三方窺視或擅自操作的功能。重新開啟畫面時,須輸入事先設定好的密碼或PIN碼(4位數以上的密碼)來解鎖。設定密碼時,請避免使用自己的姓名、出生年月日、規律數字(1234)等能輕易推敲出來的字符。
延伸閱讀:
《資安漫畫》離開座位時,你的螢幕有上鎖嗎?上班族必學! 開啟 LINE電腦版鎖定模式,離開座位不怕被偷窺!
有些上班族為了一時方便,將電腦的登入密碼及業務服務和帳號密碼等資訊,寫在便條紙上貼在座位隔板甚至是電腦螢幕上。一旦被有心人士利用,後果不堪設想。同樣的,借他人使用的智慧型手機及平板時也請留意不要讓第三方偷窺到工作內容,或操作到任何裝置。