【網絡安全】遙距工作衍生風險　4大關鍵你要知

在現代的商業環境變得更為流動之際，遙距工作已經不僅僅是一種趨勢，而是一項必需品，但隨之而來的網絡安全風險亦開始成為問題。在過去的 2023 年，香港便經歷了多次網絡安全事件，大至針對數碼港和渣打銀行等大型組織的攻擊，以至 Yuu 這些手機應用程式的數據洩漏，可見網絡安全威脅不容忽視。

根據香港電腦保安事故協調中心（HKCERT）的數據，雖然 2023 年整體的保安事故與 2022 年相比有輕微下降，但這些事故的嚴重性依然令人擔憂，尤其是網絡釣魚等攻擊變得更為頻繁和顯著。我們的工作模式在這後疫情時代有着重大的轉變，現在遙距和混合工作模式變得更為普遍，這意味着我們需要在網絡安全方面與時並進，保持高度警覺。但在這個新的工作時代，企業又應該如何平衡安全和靈活性呢？

事實上，一間公司的 IT 結構越複雜和分散，就越容易成為網絡罪犯攻擊的目標。而隨著數碼資料存儲和雲端計算於近年加速普及，攻擊事件有所增加；加上於疫情期間，為了確保員工的福祉，很多公司在採用遙距工作選項時往往將速度置於安全之上。儘管現在社會已經復常，但我們的工作環境已經和以前改變甚多，那麼企業應如何維持網絡安全呢？

如何在分散的工作環境管理風險？

根據網絡安全組織 ISC2 進行的一項研究，有近七成（69%）的香港網絡安全專業人士認為當前的環境是過去五年來最具挑戰性的；不約而同，HKCERT 的報告亦顯示多於七成（73%）的本地企業在過去一年，曾遭受最少一類網絡安全攻擊。這些數據意味著企業和組織在未來必須採取更為積極的措施，並應集中加強網絡安全協議，和實行可以保護敏感信息的策略。

提供快速並安全的遙距工作設置、定期進行安全培訓、和採用穩健的加密策略，這些都是減少網絡安全風險的關鍵。同時，Thales 2023 年的雲端安全報告顯示，人為錯誤是雲端數據被洩露的主要原因，可見制定一套能專注管理此等具最大風險問題的策略是至關重要的。

根據 ABS 的數據，只有為數不多的企業和組織會為員工提供定期的網絡安全培訓，這對網絡安全增加了更多風險，我們相信這情況更會因為遙距工作而持續或惡化。混合工作模式固然帶來了許多好處，但單單是將電子設備連接到不安全的 Wi-Fi 網絡，便有機會引來網絡罪犯。

網絡安全的四大支柱

以下四個關鍵將有助於企業和組織建立更安全的 IT 環境。

1. 建立「最小特權」原則（least privilege principle）：為了保護敏感信息，IT 和人力資源主管可以根據職位，限制不同用戶對文件和其他資源的訪問權限。有別於嘗試把這些敏感信息和員工隔絕，以「需要知道」（need to know）的原則來制定訪問權限，將能更有效地限制潛在的入侵點。主管更可以設定多個級別，例如只容許閱讀的（read-only）權限，來實踐這項原則。

2. 安全的 SSO 登錄方法：SSO（single sign-on 單一登錄）是一種身份驗證方法，允許用戶安全地在多個網絡地點和工具登錄。此方法可以讓用戶不需要在不同網絡地點都輸入登入資料，透過由代幣組成的驗證數據，全面簡化員工的身份驗證過程。同時得以節省時間而且不用記住，避免這些密碼被網絡罪犯破解並核入個人帳戶，進一步造成損害。

3. 建立零信任安全架構（zero trust security architecture）：通過持續的重新驗證和使用多種身份驗證因素的驗證方式，從而讓員工不要輕易信任任何網絡和基礎設施。當與「最小特權」原則一起實行時，員工和他們的設備更只會有他們所需的特定檔案的訪問權限。無論員工在甚麼工作地點或使用甚麼網絡，他們都需要先驗證和得到授權才能取得權限，大幅減少了企業和組織能夠被攻擊的可能性，使潛在的網絡威脅更難入侵。

4. 定期培訓：當員工在分散的地點工作時，在本質上是會缺乏重要的網絡安全機制的，但這絕不是叫所有員工回到一個單一的工作地點的理由，而是反映了定期進行網絡安全培訓的必要性。企業和組織必須不斷提醒員工有關安全性弱的密碼、釣魚郵件、和不安全的 Wi-Fi 網絡等的風險，並向他們提供關於駭客手段的最新信息。在遙距或混合工作模式當中，培訓和溝通是至關重要的。人們始終會是網絡安全中最薄弱的一環，持續向員工作培訓和投資將有助於在員工之間建立信任，讓他們成為防範網絡安全漏洞的第一道防線。

企業和組織必須負起責任

在受到網絡攻擊時，企業和組織最重要的是要知道如何在內部和外部作出回應。確定被入侵的位置、保護系統、並停止遙距控制權限是其中的首要步驟，同時還需要收集和傳遞大量信息。

入侵是何時發生的？是甚麼系統或失當的程序導致了入侵事件？情況是否已獲得解決？如果是，是如何解決的？受影響的是哪類數據？可以制定甚麼措施以避免未來的同類型事件？這些問題對內部和外部的持份者都至關重要，在解答它們的同時保持透明度，讓持份者了解到潛在的風險，是維繫信任的關鍵。

其中特別重要的是明確告知員工事故，並讓他們參與事後的檢討，透過此一事故更好地讓員工了解到潛在的風險和後果。沒有人會沒有緣故地承受網絡安全風險，缺乏對網絡安全的理解更可能是被入侵的原因。定期作重新評估、員工培訓、和建立訓練計劃應該成為整個安全策略的一部分。企業和組織無需要獨自應對這項任務，它們可以與可信賴的合作夥伴合作，幫助保護數據，同時繼續僱用分散於不同地方的人才。例如像 Remote 這樣的全球人力資源平台，可以幫助它們建立安全穩固的全球團隊，同時確保僱主遵守全球性，以至不同國家和地區對於數據保護的法律要求。

無論員工身處何地，持續對適當的安全基礎設施作投資都是必要的。但同樣重要的是透過培訓，，讓他們成為可以降低網絡安全風險的員工，因為對數據的保障和維持營運韌性往往取決於他們的行為方式。

網絡安全公司Green Radar聯同 wepro180 最新推出《網安 2 分鐘》，一系列影片助你自學網絡安全招數，遠離詐騙，安全意識輕鬆 Level Up！立即去片：https://www.wepro180.com/cybersafety/