資安意識別跟著中秋節一起放連假-長假前後,企業該如何避免資安事件趁虛而入?

連假期間企業十分容易發生資安事件。本次將介紹「休假前」、「休假時」、「休假後」等時間點,員工分別應執行的對策及注意事項。


這些是連續假期時容易發生的資安事件:「員工所帶出的裝置失竊、遺失或感染惡意軟體」、「員工帶出公司的工作資料外洩」、「因企業內網路遭到駭客入侵而感染惡意軟體、發生資料外洩」、「透過分散式阻斷服務攻擊 (DDoS)攻擊使服務停止及延遲(藉由集中存取目標網站、給予大量處理負荷來攻擊目標網站,以使其停止服務)」等。

員工休假前應執行的8項對策


接下來將介紹員工於休假前應執行的8項對策。若能在平時實踐這些對策,也能使公司及自己遠離各式各樣的資安威脅。

1.📍 確認並遵守公司的安全防護政策及指南

只有在公司同意時,才能將工作單位配發的裝置及資料帶出、從外部連接組織內網路,以及使用私人裝置及網路服務等。因個人行為而導致資料外洩等狀況發生時,不但會受到懲處,還可能會被要求賠償損失。因此,應確認好公司所訂定的安全防護政策及指南並確實遵守。

2.📍 事先了解緊急連絡管道及對應步驟

為了在資安事件發生時能迅速對應,除了所屬組織外,也應事先掌握子公司、相關公司、客戶等的緊急連絡管道及對應步驟。由於公司內的規定可能會因遠端工作的導入而改變,因此對公司內的最新規定也應有所了解。

3.📍 謹慎地管理智慧型手機、平板電腦及個人電腦等裝置

在休假時,若個人電腦等裝置放在公司,應將電源切斷,避免網路連接。藉此能降低外部惡意入侵的風險,避免感染惡意軟體、資料外洩。此外,回家時,別忘了將裝置放入可上鎖的抽屜及櫃子裡,以免失竊。休假時,應避免公司配發的智慧型手機及平板電腦遺失或用於私人用途。

4.📍 將作業系統保持為最新版本

一般來說,當個人電腦的作業系統或軟體開發商提供更新程式時,建議應儘速更新。因為有些手法會惡意使用作業系統和軟體的安全漏洞(安全上的弱點)來使裝置感染惡意軟體。但是,由於有些企業會先驗證更新程式對公司內系統的影響,再指示員工更新的時機,因此請遵照公司的規定。

5.📍 使用安全防護軟體/防毒軟體並適當地更新

透過使用安全防護軟體/防毒軟體,能降低感染惡意軟體、存取惡意網站等風險。請在使用時適當地更新安全防護軟體,以保護自己遠離最新的威脅。

6.📍 謹慎地管理網路服務的帳號

-為避免網頁電子郵件、Microsoft 365遭到非法登入,應「將每個服務分別使用不同的帳號密碼組合」、「盡可能將密碼設定得又長又複雜,讓第三者難以推敲」、「在情況允許下,開啟雙重認證/兩步驟驗證(Two-factor authentication,縮寫為2FA)。請依照公司所規定的方法確實管理帳號資訊。
-千萬別將密碼暴露在別人輕易就可以看得見的地方。
-將密碼以備忘錄儲存時,也應將部分資訊隱藏,以避免輕易地遭到第三方惡意使用。

7.📍 鎖定個人電腦及智慧型手機的螢幕

-若視線遠離個人電腦、智慧型手機及平板電腦時,請務必將螢幕鎖定,以避免工作內容遭到第三方窺視或擅自操作的功能。

-請將再次使用時的密碼及PIN碼(4位數以上密碼)設定成第三方難以推敲的密碼。

-也請預先檢查通知設定,以避免螢幕鎖定時出現工作相關的訊息及行程預覽。

8.📍 做好備份

應做好準備因應當個人電腦失竊、遺失、故障、遭到惡意軟體感染時所導致的資料遺失。平時就應將重要資料備份好,並儲存於公司的指定位置。請勿擅自在公司使用私人雲端儲存空間及外接式硬碟。

休假時的注意事項

1.📍 避免被假警告所騙

請務必特別留意顯示「您的裝置可能已中毒」等警告訊息的網站。即使擔心,也不應隨意點選警告訊息中的選項。因為這些大多數都是詐騙,是引導使用者進入技術支援詐騙網站的入口。

參考: 如何處理電腦或手機上出現的警告或詐騙訊息?

2.📍 謹慎地確認電子郵件的真偽

-即使電子郵件來自知名公司及真實人物,但如果有任何內容企圖引導您開啟網址連結、附件檔案或撥打電話,都應對該電子郵件抱持懷疑。例如,假冒資訊系統部門負責人所寄出之「應更新密碼」等電子郵件,可能會連結至網路釣魚(Phishing)網站。

-只要稍微感覺異常,就應透過電子郵件以外的方式向寄件人確認事實,或向安全防護負責人通報。

-登入工作系統等帳號時,請養成從儲存於書籤中的官方網站或公司內入口網站登入的習慣。

3.📍 遠離簡訊網路釣魚及語音釣魚

-來自簡訊釣魚(使用簡訊進行的網路釣魚詐騙)的危害也是層出不窮。請小心不要被假的不在府通知引導至惡意網站,對方可能會透過假冒實際存在的物流業者,傳送「因為您不在府上,我們已將包裹收回」等簡訊。

語音釣魚(透過語音進行的網路釣魚詐騙)會透過假冒身分等方式,詢問一些乍聽合理的事情,從目標企業的員工口中取得資訊。可能會有人假冒為客戶或分公司的員工,打電話來試圖詢問特定人員的聯絡方式。
🔻延伸閱讀:
網路釣魚進化成 AI 語音釣魚,偽裝老闆聲音騙走 770 萬台幣!

你收到郵件及電話可能是假的!?-秘書、助理需留意的網路威脅

4.📍 遵守公司對於遠端工作的規定

休假時,可能有人會在咖啡店及家中工作。此時,由於工作地點不同於高安全性的辦公室,資料外洩及感染惡意軟體等風險也會提高。請確認公司對於遠端工作的規定,並確實遵守。
在咖啡店等公共場合工作時,也有因監視、監聽而導致資料外洩的風險。除了網路的安全性外,也請多留意周遭的環境。



🔻延伸閱讀

《看漫畫談資安》在家遠端工作應注意的資安重點
如何確保雲端式通訊平台 Slack安全,讓遠端團隊與 WFH在家上班的員工安心溝通?
使用 Mac 在家上班,確保安全、私密性與生產力的秘訣
駭客跟著你一起在家上班! 登入憑證網路釣魚「疫」常激增

 

休假後應執行的3項對策

1.📍 確認作業系統及軟體是否有更新程式,必要時應更新

請檢查作業系統及軟體的更新資訊。這些開發商可能會在您休假時提供更新程式。但由於每個企業對於更新程式的規定不同,因此請遵照公司的規定進行。

2.📍 對帶出公司的裝置進行病毒偵測

務必要對曾帶出公司外的工作用電腦、智慧型手機及隨身碟等進行病毒偵測。請使用最新版本防毒軟體/安全防護應用程式進行掃描。如果有感染的可能性,請依照公司所規定的步驟處理,如向安全防護負責人報告並尋求指示等。

3.📍 謹慎地確認電子郵件

由於長假剛結束時需處理大量的電子郵件,因此容易對垃圾郵件的警告鬆懈。在未確認電子郵件真偽的情況下,不應隨意開啟電子郵件的網址連結及附件檔案。建議在平常就要養成確認電子郵件真偽的習慣。發現可疑的電子郵件時,請向安全防護負責人報告並尋求指示。

※本篇報導係依撰文當時的資訊製作而成。