IT經理：你知道公司資安地雷區在哪嗎？

| | | | | | 留下回應

    

這意味著，幫公司締造業績的部門，卻同時有可能是企業網路運作殺手。跑腿的工讀生，可能因午休時間開啟一封朋友轉寄的色情信件或網站連結，而讓公司數位資產暴露在外。

我不是在叫IT部門看完本文後去把業務部門電腦搜查一遍，或解雇所有工讀生，而是要指出一個現象：在這個調查之前，該公司 IT 部門普遍不知道企業內部的安全殺手潛伏在那個部門，也不知如何隔離那些總是開啟網釣(phishing)頁面或誤開有毒色情檔案高危險群。這是目前存在許多企業的安全管理難題，尤其是網路使用自由度高的公司， IT 部門在不干涉員工的網路連線前提下，又要有效率地執行安全守則，著實兩難。

最明顯的例子是，員工開啟色情郵件或連結引狼入室。此類郵件藉由勾起使用者的好奇心，一個郵件標題、一個附件檔名，就能讓使用者 Click滑鼠進行散播，我們稱之為社交工程(social engineering)。

最近趨勢科技 TrendLabs 的誘捕系統（ Honey pot）即攔截到許多以色情為餌的病毒。它們既不是散發大量郵件的蠕蟲，也沒有透過 Bot 殭屍網路來散發垃圾郵件，而是由人為手動轉寄木馬植入程式。究其原因，原來這封郵件樣本由 Yahoo 群組中的某位成員散發給許多 Yahoo 群組的郵件，再滾雪球般地逐漸散佈出去。雖然屬於手動散播，但只要想想這封電子郵件所傳送的群組數目，加上每個群組所擁有的成員數目，也能釀成大禍。去年導致全球10億美金而惡名昭彰的網路病毒Sobig 最初也是出現在某個含有色情內容的網路討論群組，然後被加以傳播。

80％來自風險管理不足

目前多數防毒軟體對此類的病毒都具有偵測能力，用戶在上網接收郵件或下載檔案時候只要先打開防毒軟體的即時監控功能，就可避免被攻擊。不過，在趨勢科技的實務經驗裡，員工的不當使用行為往往才是企業IT部門防不勝防的安全死角：擋不住誘惑而擅自開啟情色標題及圖片，病毒碼等防毒元件沒有更新，出差的 Notebook 最容易因為疏忽更新而給予病毒可乘之機，一打開就忘了關閉的共享資料夾、長年未修改的傻瓜密碼、隨意放入的陳年舊版軟體 CD、使用 Windows update自動更新功能，不理會重新開機提示，都會導致原已經從系統清除過的蠕蟲找到再生的管道。網路安全的危機，有80％ 是管理不當造成的。

IT 部門苦口婆心的安全政策宣導，似乎無法立竿見影，加上病毒社交工程包裝技巧愈來愈高招，粗心使用者往往在彈指間引狼入室。由於系統管理者無法得知哪些員工是經常性的累犯：每次病毒爆發事件的元凶，因此往往會錯過避免災情擴散到整個網路的搶救黃金期。

資訊安全從「 IT 部門的事」到「全公司的事」

好的風險管理能成功教育員工為資訊安全負責，電腦中毒時不但不再衝動拿起電話開罵 IT部門，反而會為自己違反公司安全政策，影響公司網路安全而自責，讓安全意識的轉變從「千錯萬錯都是 IT 部門的錯」到「安全政策，不再只是 IT 部門的事」。

以我服務的某客戶為例，過去網路斷線時，員工總是高分貝抗議，但是請其合作遵守資訊安全守則時，卻是得不到明顯的成效，一直到他們舉行防毒演習為止。

在演習中，首先該公司以「看似」某部門最高長官 Dave的名義發出「軟體 Beta 版搶先試用，拿大獎」測試信，結果高達98％的員工開啟附件，結果得到如下訊息：「哈哈，上當了！！你的安全警覺性待加強。」而事實上該部門最高長官的正確名字是 David，而不是Dave。凡是點閱該封信件者，都會留下紀錄，藉著測試活動結果，以統計數據說服當事人或是高層主管，企業潛在的人為因素對整體網路安全的影響。這樣的防毒演習不定期舉行，最近的一次是針對網路釣魚 (phishing)的個人金融資料詐騙行為，他們發現內部網路中的被釣風險提高 5%，如同以往，該公司還針對開啟不明信件的使用者，請防毒專家進行教育訓練。

為了達到更大的成效，我認為企業應該進行部門評比，甚至 HR要求經理列入員工考績評比。尤其在網路使用自由度很高的公司，嚴懲重罰可能會遭致反彈，而這種自覺性安全意識提升的作法，最好在找出人為的因素後，每隔一段時間以量化圖表的比較改善成效。

量化數據讓IT 部門不再啞吧吃黃蓮

最後，我想回到本文前述的300人企業的調查。2004年進行相同調查時，該公司「最會開危險郵件的員工」是各部門經理佔了18％，在2005年下降為15％，整體而言，員工開啟危險郵件的比例由2004年的25％，下降為18％，獲得明顯的改進。但臨時雇員卻在2005年成為安全地雷，顯見針對此類員工的安全教育尚待加強。另外，從數據分析來看，業務部門是本年度的高度危險區，但是相較於去年已經微幅改善，反而是運輸部門與財務部呈現大幅攀升現象。

IT 部門有了具體呈現的數據，可制訂改進目標，並由專家提供方法。從此以後，即使是CxO 辦公室傳出疫情，也不用扮演尷尬的糾察隊角色，一切讓數字替你說話， IT 部門再也不用老是為公司網路中毒被K得狗血淋頭了。