BYOD蔚為風潮 企業資安挑戰更多
- DIGITIMES企劃
-
隨著法規日趨完備、網路建設與應用漸趨成熟,以及軟硬體技術的不斷精進,企業資訊安全的重要性,但也面臨更為嚴峻的挑戰。尤其是近年來,因為智慧手持裝置的興起,愈來愈多的員工,希望能使用自己熟悉的智慧型手機或平板工作,BYOD(Bring Your Owe Device)的風潮也已經漸漸被企業所接受,但也因此衍生過去從未發生過的資安議題。
NTT Communications Corporation BYOD專案副總三隅浩之(Hiroyuki Misumi)指出,由於智慧型手機及平板電腦的規格及效能,已經接近個人電腦,攜帶又更為方面,尤其在行進間、零碎的等待時間或是小型會議或辦公室的使用,智慧手持裝置顯然更能實現隨時隨地工作的目標,也讓BYOD風潮蔚為風尚。
但在BYOD大行其道之際,三隅浩之也指出,「Shadow IT」的問題也開始延燒,因為許多自行攜帶智慧手裝置的員工,其實並沒有得到公司的認可。NTT發現,超過50%以上的員工會自行攜帶智慧型手機上班,但只有20%左右是真正得到企業正式同意,在企業默許狀態下使用的比例則為12%,值得注意的是,20%的使用者表示,所屬企業根本沒有任何的管制措施。
NEC資深副總裁山口昌信(Masanobu Yamaguchi)指出:企業必須正視BYOD的趨勢已經成形,即早因應準備,才不會讓「Shadow IT」蔓延,成為企業IT管理的陰暗死角。他認為智慧手持裝置將成為企業IT系統的核心,這只是時間早晚的問題。「行動化優先」(Mobile First)的時代已經來臨,我們正處在此一潮流當中。
山口昌信強調:「行動化優先」可協助企業員工在工作現場與企業IT系統迅速直接地連接,這將掀起企業IT系統的革命。而NEC Cloud Smartphone是實現「行動化優先」,同時又保證可以實現生產效率最大化的解決方案。
BYOD成攻擊對象 企業應了解攻擊模式
三陽工業經理陳春明指出,企業要導入BYOD,一定要做好事前準備,以及詳盡的資訊藍圖,才能在最短的時間,完成資訊管理建設,企業也才能加快營運拓展的腳步,企業資訊策略與架構,必須與企業策略相結合。
企業資訊安全的防護措施,也應該要跟著企業發展及環境的需要與時俱進,不斷調整。尤其在企業的業務流程,已經與網際網路難以切割,資料文件也已經大量數位化的趨勢下,來自於網路的惡意攻擊威脅,所造成的危害也變得更加嚴重。
值得注意的是,駭客的攻擊對象已經開始從過去以政府單位為主,轉而開始攻擊企業。趨勢科技資深技術顧問黃源慶指出,隨著愈來愈多的企業導入BYOD,這些手持智慧裝置,也已經成為進階持續性滲透攻擊(Advanced Persistent Threat;APT),非常喜歡鎖定的對象。
F5 Networks技術經理紀文智指出,企業要讓資訊安全做得更好,一定要了解攻擊行為的模式。目前常見的資安攻擊手法,首先是從網路方面的攻擊,主要是設法取得存取權限;其次是針對應用層次的攻擊,主要目的是進行資料竊取,遇到這類攻擊,資料本身是否做好就相當重要;最後是DDoS,主要目的則是讓網站服務停擺。
紀文智指出,這些攻擊方式,其實都有跡可循,企業也可藉此判斷,應該採取的防護措施。大多數真正有威脅的攻擊,其實是針對應用層次的攻擊。紀文智表示,因為應用軟體才是接近資料的大門,一旦資料被竊取,就可進行詐騙或財務轉帳等動作,企業不可不慎。
注意內部控管 小心設備失竊
黃源慶進一步指出, BYOD因為使用範圍非常大,很容易形成資安漏洞,讓駭客有機可乘,也就成為商業駭客鎖定的對象。台灣各界不管是政府或企業,作為都不夠,防禦能力都不夠強。如夾帶附件的社交工程電子郵件,是APT最主要的攻擊方式,比例超過90%以上,而且發信單位常常會冒充政府單位或資訊部門,用戶可說是防不勝防。
事實上,許多企業營業機密,可能就會在員工不經意的狀況下流出。根據商業管理協會(Institute of Commercial Management)研究報告指出,白領工作者平均每周處理11份機密營業文件,而且這些機密文件常常會在不必要的情況下曝光。報告指出,39%的工作者曾經將客戶資料寄出公司,52%的員工曾在離職時,將工作資料帶走;86%的員工坦承習慣性將郵件轉寄其他人;26%的員工甚至會使用免費信箱寄送工作資料。
精品科技資安顧問許祐福指出,根據國際電腦安全協會報告(ICSA Security Report),60%的洩密事件,其實是來自企業內部,只有15%是來自外部入侵,這也代表企業對於企業內部資訊機密的保護,還不是很周全。
除了內部員工因為調動或離職,沒有做好交接或不慎遺失外,也有員工是因為對公司不滿,而竊取資料,商業間諜也是資料外洩的原因之一。此外,員工出差及外派人員也可能會不慎將機敏檔案外流,就連委外或合作廠商,也可能因為作業疏失、文件交換分享等因素,導致機敏檔案處理風險發生。
雖然BYOD可以讓員工使用自己熟悉的設備,提高工作效率,而且對企業主而言,還可以節省軟硬體設備支出,以及另外花時間和金錢安排教育訓練,但台灣二版高級產品經理盧惠光指出,在這些優勢及便利下,相對的也隱藏了一系列的企業資料外洩跟安全性的問題。
盧惠光認為,BYOD資料控管的議題中,電腦遭竊是最嚴重的資安問題,因為裝置一旦遺失,企業就無法作太多的控制,為了防患未然,防毒軟體加入防盜功能有其必要。如利用手機中信任的sim卡名單,傳送簡訊指令保護行動裝置的手機防盜功能,或是在公司電腦遺失時,可以登入網站利用筆記型電腦上的webcam即時監控正在使用筆記型電腦的人。
盧惠光更強調,愈來愈多的攻擊,不但變得更加專業,病毒的隱密性也變得更高,不但不容易被防毒軟體發現,這些病毒也會設法增加停留時間,以便有更多突破防毒軟體屏障的可能,即使是已經注意到BYOD有安全隱憂的員工,也不代表就能高枕無憂。
協同作業要注意 法律規定要熟悉
除了從技術面設法克服BYOD可能衍生的資安問題外,企業也需要注意管理面的問題。嘉航科技工程技術副總經理陳威宏指出,企業擁有的數位檔案數量愈來愈多,有如洪水一般滾滾而來,位檔案的管理就像治水一樣,一旦控管不當就會氾濫成災。
陳威宏指出,數位檔案不但無所不在,而且會透過各種系統或裝置分享,而在使用或分享的過程中,就可能發生數位檔案遭竊的可能。陳威宏認為,權限管理變得非常重要。
以產品開發為例,由於產品在開發過程中,常常需要與不同的部門交換資訊,也讓資料控管變得更加複雜,因此在不同的階段,需要不同的權限控管,考量事項包括使用者的角色及群組設定、資料庫的存放位置、物件的類別及狀態。
值得注意的是,因為營業秘密的成立要件非常嚴格,許多企業認定非常重要的營業祕密,可能在進入訴訟程序時,卻不見得能得到法院認可。勤業眾信聯合會計師事務所協理曾韵指出,企業如果要確保營業秘密能夠受到法律保障,對於營業秘密的意義,尤其是法律上的定義,一定要有相當程度的了解。
