身为网站建设公司,经常帮客户处理各类的信息安全问题或是公家机关的信息安全审查,客户们也常常有信息安全疑难杂症需要我们解答。 由于信息安全的层面非常多,我们会有一系列文章,慢慢带大家理解信息安全的重要性。
小公司需要在乎信息安全吗?
很多人有个错误观念,我们小本经营,或是公司规模不大,十多人而已,没有什么值得偷的东西,黑客不会来偷这些没价值的资料的。
通常有这种想法,可能是看了许多影视创作,以为黑客就是帅气的在电脑前打打键盘,用神秘的方法破解防火墙,入侵大企业的库房,把财宝偷出来后远走高飞。
但现实世界不是这样的,也没有什么魔法可以在几分钟内破解各种系统。 现实世界的信息安全大多是人为疏失造成的资料外泄,例如密码纸条被捡走、离职员工搞破坏、档案被加密勒索、或者被诈骗集团盗用账号这类熟能详却又层出不穷的风险,当你在年底最繁忙的时候出现这些问题,小一点账号被拿走要联系平台证明身份,闹大一点上新闻被采访,常常会搞得人仰马翻,想好好服务客户也做不到。
所以,中小型公司切记一个重点,把信息安全做好,是为了让你的业务不致于在最繁忙的时候停摆,造成严重损失,而不是为了去预防一些百年难得一见的神童破解服务器盗取国家机密等状况。
机密资料被透漏给不该知道的人
像是帐务人员不应该看到业务的联系资料,客服人员不应该看到公司的金流,这些是非常基本的知识,相信大家都同意。 但是越来越多公司开始使用 Dropbox / 百度云盘 / Office 365 等等云平台管理日常作业文件,一旦使用权限没有设好,很容易让人看到不该看的信息。
有些小公司标榜组织扁平化,所有人共享公司的营运资料,一切公开透明。 虽然也是很好的做法,但一不小心,也可能把客户的营运资料设成公开放到网络上。
分享链接给客户很方便,但一不小心网址被公开就所有人看光光了
解决方案: 最小信任原则
一个组织内的成员,应该先预设成「什么都看不到」,然后才根据他的职务开启相对应的权限。 (一步步往上开,而不是一次全开)
分享档案,尽量选有密码保护的平台,可以用密码保护特定档案。
如果平台提供有时间限制的链接,就尽量设定失效时间,不要永久分享。
如果 Email 平台有机密时效的设定,可以打开。
真正机密的数据,根本不应该上云或远程共享。 请用机密 Email 或压缩成密码保护的压缩文件 (不要把密码跟着文件一起寄出)。
邮件群发副本给不该看到的人
听起来好像只是观感问题? 不只,这是违反个资法的。 很多单位习惯用邮件cc功能,副本给所有合作单位公告一些事项,但使用的却不是bcc密件副本。
但这样会造成所有单位主管与窗口的 Email 被得知,除了可能透漏您公司的客户资料以外,也可能有业务人员混在里面,趁机获取销售名单甚至骚扰他人。
解决方案: 不该用 cc / bcc 大量群发
就算用 bcc 也不行,不要把一般的企业邮件功能用来群发给外人,只要允许,就会有人操作错误。 切记,大多数的信息安全问题都是人为疏失。
应该善用 MailChimp / benchmark / 电子豹 这类营销平台进行群发。
用 Excel 管理名单。
如果有网管,可以设定成寄发给外部 email 时显示警告,请用户再次确认。
离职员工搞破坏
离职员工有权限进入原本的系统,例如 NAS,Email 等等,是非常危险的。 尤其离职人员如果是网管的话,很可能还知道最高权限的账密。 这类状况时有耳闻,甚至如果全公司共享账号,还不一定能抓出凶手是谁。
解决方案: 不要共享帐密
尽可能一人一个专属账号,只给予必要权限,离职时直接关闭账号
不要全公司共享一套密码,可以用密码管理器如 1Password / LastPass 等工具,每个帐号建立一组随机密码
员工离职当下,就应该收回电脑并直接移除所有帐号与登入权限
如果有 MIS,可以将必要的系统隐藏在内网,不在公司时只能登录 VPN 使用
账号盗用
近几年时常会听到许多知名粉专,因为被盗用账号,管理员被踢出,整个粉专拿不回来的状况。 不要以为自己的粉专很安全,只要众多管理员有一个被钓鱼信件钓到,黑客就可以踢掉其他所有人。
很多人以为来路不明的讯息会让你中毒,所以黑客透过木马偷取你的资料。 不是的,现在没什么人在用木马了,大多数时候是你自己把帐密拱手送出去的。
通常这类的盗取手法都是这样的,他会假冒一个讯息,让你很紧张的前往某个网站输入帐密,例如下图,一个莫名奇妙的警告讯息发送给你。
一旦你紧张了一下点进去网址,就会看到假冒的 Facebook 登入画面。
当人在紧张时,是不会查证太多的,可能就照着步骤输入帐密。 接下来嘿嘿,黑客就可以把你所有个人账号全部拿下来了。
解决方案: 团队内宣传良好的信息安全意识
来路不明的网址与信件不要点击
登入任何网站前,再次注意网址是不是正确的
要求整个团队启用双重验证,例如短信验证或手机 2FA / OTP 认证等等,千万不要嫌麻烦,一个人被盗,所有人都有风险
还是一样,只给必要的权限。 低权限账户被入侵,损失也较小。
网站损毁,营业资料遗失
无论是网站主机硬件损坏,还是管理人员粗手指不小心按到全体删除,这种无来由的问题常常造成一间公司巨额的损失。 千万不要以为只有天灾人祸会造成资料遗失,把电脑保护的好好的肯定没问题。 很多时候中小企业一台 NAS 用了 7-8 年,硬盘寿命到期直接挂掉时有耳闻。 如果只是归档的营业资料可能还好,若是当季的应付与应收帐款,还有客户订单数据遗失,那就大条了。
解决方案: 备份 3-2-1 原则
3: 至少制作三份备份
2: 将备份分别存放在两种不同存储介质 (一分在硬盘,一分在 USB or 磁带上)
1: 至少一份放在异地保存 (这是最难的,很多公司都忽略这件事)
虽然现在很多 NAS 都提供自动备份功能,但那只是备份在本地而已。 要尽量启用远程备份,例如上传到 AWS 或远程服务器等等。 「一定要在两个不同的地理位置」才是正确的异地备份,不然淹个水,十份备份也没用。
电脑被加密勒索
这也是很常见的问题,大家都以为自己不会遇到,但其实加密勒索很容易发生,因为大多是自动化软件在网络上自动扫描电脑与网站,只要其中一台老旧的电脑有漏洞被入侵,就可以透过内网或 USB 感染整间办公室的电脑。
图为前几年非常知名的 WannaCry 勒索病毒
解决方案
减少使用自动化两地同步功能,不然本地机被加密,也会直接更新到远程去
如果有使用云端硬盘,可以开启版本纪录功能
团队要规定,定期将资料上传一份在云端备援,不要通通塞桌面
备份依然是最重要的,软件被破坏可以重装,数据遗失就回不来了
总结
看完以上的常见信息安全灾难,您还会觉得中小企业没有信息安全问题吗?
所以要再次强调,「信息安全」这件事,并不是只有非常高端的大企业需要面对,一般中小企业或个人,随时随地都会面临到这些防不胜防的盗用与钓鱼问题,以及单纯的内控疏失等等,而这些状况都很有可能造成你们在旺季或热门档期时间服务停摆。
如果您看完这一篇,决定开始重视信息安全议题,我们接下来会陆续写一系列的信息安全相关文章,许多会是与网站主经营网站息息相关的。
