【資安科普】小公司或中小企業如何做好資安管理

#資訊安全

【資安科普】小公司或中小企業如何做好資安管理

身為網頁設計公司,經常幫客戶處理各類的資安問題或是公家機關的資安審查,客戶們也常常有資安疑難雜症需要我們解答。由於資安的層面非常多,我們會有一系列文章,慢慢帶大家理解資安的重要性。

小公司需要在乎資安嗎?

很多人有個錯誤觀念,我們小本經營,或是公司規模不大,十多人而已,沒有什麼值得偷的東西,駭客不會來偷這些沒價值的資料的。

通常有這種想法,可能是看了許多影視創作,以為駭客就是帥氣的在電腦前打打鍵盤,用神秘的方法破解防火牆,入侵大企業的庫房,把財寶偷出來後遠走高飛。

 一般人想像的駭客 (圖片來自電影: Kung Fury)

但現實世界不是這樣的,也沒有什麼魔法可以在幾分鐘內破解各種系統。現實世界的資安大多是人為疏失造成的資料外洩,例如密碼紙條被撿走、離職員工搞破壞、檔案被加密勒索、或者被詐騙集團盜用帳號這類熟能詳卻又層出不窮的風險,當你在年底最繁忙的時候出現這些問題,小一點帳號被拿走要聯繫平台證明身分,鬧大一點上新聞被採訪,常常會搞得人仰馬翻,想好好服務客戶也做不到。

所以,中小型公司切記一個重點,把資安顧好,是為了讓你的業務不致於在最繁忙的時候停擺,造成嚴重損失。而不是為了去預防一些百年難得一見的神童破解伺服器盜取國家機密等狀況。

常見的資安問題與解決方案

機密資料被透漏給不該知道的人

像是帳務人員不應該看到業務的聯繫資料,客服人員不應該看到公司的金流,這些是非常基本的知識,相信大家都同意。但是越來越多公司開始使用 Dropbox / Google Drive / Office 365 等等雲端平台管理日常作業文件,一旦使用權限沒有設好,很容易讓人看到不該看的資訊。

有些小公司標榜組織扁平化,所有人共享公司的營運資料,一切公開透明。雖然也是很好的做法,但一不小心,也可能把客戶的營運資料設成公開放到網路上。

分享連結給客戶很方便,但一不小心網址被公開就所有人看光光了

解決方案: 最小信任原則

  • 一個組織內的成員,應該先預設成「什麼都看不到」,然後才根據他的職務開啟相對應的權限。(一步步往上開,而不是一次全開)

  • 分享檔案,盡量選有密碼保護的平台,可以用密碼保護特定檔案

  • 如果平台提供有時間限制的連結,就盡量設定失效時間,不要永久分享

  • 如果 Email 平台有機密時效的設定,可以打開

  • 真正機密的資料,根本不應該上雲或遠端共享。請用機密 Email 或壓縮成密碼保護的壓縮檔 (不要把密碼跟著檔案一起寄出)。

郵件群發副本給不該看到的人

聽起來好像只是觀感問題? 不只,這是違反個資法的。很多單位習慣用郵件 cc 功能,副本給所有合作單位公告一些事項,但使用的卻不是 bcc 密件副本。

但這樣會造成所有單位主管與窗口的 Email 被得知,除了可能透漏您公司的客戶資料以外,也可能有業務人員混在裡面,趁機獲取銷售名單甚至騷擾他人。

解決方案: 不該用 cc / bcc 大量群發

  • 就算用 bcc 也不行,不要把一般的企業郵件功能用來群發給外人,只要允許,就會有人操作錯誤。切記,大多數的資安問題都是人為疏失。

  • 應該善用 MailChimp / benchmark / 電子豹 這類行銷平台進行群發

  • Gmail 另外有 Mail Merge 外掛,企業版現在也支援多重發送,用 Excel 管理名單

  • 如果有網管,可以設定成寄發給外部 email 時顯示警告,請使用者再次確認

Gmail 企業版支援多重郵件

當寄發對象包含外部人士時,gmail 也會適時提醒您

離職員工搞破壞

離職員工有權限進入原本的系統,例如 NAS,Email 等等,是非常危險的。尤其離職人員如果是網管的話,很可能還知道最高權限的帳密。這類狀況時有耳聞,甚至如果全公司共用帳號,還不一定能抓出兇手是誰,例如以下新聞

Ubike全台大當機掀風暴 法院揪出資安大危機

解決方案: 不要共用帳密

  • 盡可能一人一個專屬帳號,只給予必要權限,離職時直接關閉帳號

  • 不要全公司共用一套密碼,可以用密碼管理器如 1Password / LastPass 等工具,每個帳號建立一組隨機密碼

  • 員工離職當下,就應該收回電腦並直接移除所有帳號與登入權限

  • 如果有 MIS,可以將必要的系統隱藏在內網,不在公司時只能登入 VPN 使用

類似 1password 這類的管理器,可以幫企業管理大量高強度密碼

帳號被盜用

近幾年時常會聽到許多知名粉專,因為被盜用帳號,管理員被踢出,整個粉專拿不回來的狀況。不要以為自己的粉專很安全,只要眾多管理員有一個被釣魚信件釣到,駭客就可以踢掉其他所有人。

很多人以為來路不明的訊息會讓你中毒,所以駭客透過木馬偷取你的資料。不是的,現在沒什麼人在用木馬了,大多數時候是你自己把帳密拱手送出去的。

通常這類的盜取手法都是這樣的,他會假冒一個訊息,讓你很緊張的前往某個網站輸入帳密,例如下圖,一個莫名奇妙的警告訊息發送給你。

一旦你緊張了一下點進去網址,就會看到假冒的 Facebook 登入畫面。

當人在緊張時,是不會查證太多的,可能就照著步驟輸入帳密。接下來嘿嘿,駭客就可以把你所有個人帳號全部拿下來了。

解決方案: 團隊內宣傳良好的資安意識

  • 來路不明的網址與信件不要點擊

  • 登入任何網站前,再次注意網址是不是正確的

  • 要求整個團隊啟用雙重驗證,例如簡訊驗證或手機 2FA / OTP 認證等等,千萬不要嫌麻煩,一個人被盜,所有人都有風險

  • 還是一樣,只給必要的權限。低權限帳戶被入侵,損失也較小。

網站損毀,營業資料遺失

無論是網站主機硬體損壞,還是管理人員粗手指不小心按到全體刪除,這種無來由的問題常常造成一間公司巨額的損失。千萬不要以為只有天災人禍會造成資料遺失,把電腦保護的好好的肯定沒問題。很多時候中小企業一台 NAS 用了 7-8 年,硬碟壽命到期直接掛掉時有耳聞。如果只是歸檔的營業資料可能還好,若是當季的應付與應收帳款,還有客戶訂單資料遺失,那就大條了。

解決方案: 備份 3-2-1 原則

  • 3: 至少製作三份備份

  • 2: 將備份分別存放在兩種不同儲存媒體 (一分在硬碟,一分在 USB or 磁帶上)

  • 1: 至少一份放在異地保存 (這是最難的,很多公司都忽略這件事)

雖然現在很多 NAS 都提供自動備份功能,但那只是備份在本機端而已。要盡量啟用遠程備份,例如上傳到 AWS 或遠端伺服器等等。「一定要在兩個不同的地理位置」才是正確的異地備份,不然淹個水,十份備份也沒用。

電腦被加密勒索

這也是很常見的問題,大家都以為自己不會遇到,但其實加密勒索很容易發生,因為大多是自動化軟體在網路上自動掃描電腦與網站,只要其中一台老舊的電腦有漏洞被入侵,就可以透過內網或 USB 感染整間辦公室的電腦。

圖為前幾年非常知名的 WannaCry 勒索病毒

解決方案

  • 減少使用自動化兩地同步功能,不然本機被加密,也會直接更新到遠端去

  • 如果有使用雲端硬碟,可以開啟版本紀錄功能

  • 團隊要規定,定期將資料上傳一份在雲端備援,不要通通塞桌面

  • 備份依然是最重要的,軟體被破壞可以重裝,資料遺失就回不來了

總結

看完以上的常見資安災難,您還會覺得中小企業沒有資安問題嗎?

所以要再次強調,「資安」這件事,並不是只有非常高端的大企業需要面對,一般中小企業或個人,隨時隨地都會面臨到這些防不勝防的盜用與釣魚問題,以及單純的內控疏失等等,而這些狀況都很有可能造成你們在旺季或熱門檔期時間服務停擺。

如果您看完這一篇,決定開始重視資安議題,我們接下來會陸續寫一系列的資安相關文章,許多會是與網站主經營網站息息相關的。

或者,您的網站有資安疑問,歡迎聯繫夏木樂

其他相關文章

相關文章