貴公司的資料出了辦公室是否依然安全?通用資料保護規範 (GDPR) 本月生效,影響遍及所有會收集和處理歐盟居民資料的組織。GDPR 規範專家在此建議您保護事業的方法
倚賴遠端工作者的公司一定曉得保障資料不會遭到濫用、誤置、盜用的重要性。不過隨著通用資料保護規範 (General Data Protection Regulation,GDPR) 將於本月(2018 年 5 月)生效,確保公司符合嚴格的規定也相當重要,否則會同時嚴重影響到財務和名聲。既然如此,該如何保護移動中的資料,同時又不失去真正的行動工作模式所帶來的效益?
1. 教育員工
套句 GDPR 的說法,公司是「資訊所有者」,而遠端員工是「資訊處理者」。資料合規總監 John Slaughter 表示:「這代表由員工保護公司資料安全的重要性與您不相上下。員工每天都應當優先考量是否符合 GDPR 規範,遠端工作時尤其如此。關鍵在於要對安全網路的使用有明確的指示規範,如此才能識別和傳達哪些記錄資料僅能在安全的環境下使用。」Slaughter 建議公司企業要定期訓練、重新培訓和審核員工,以確保員工瞭解問題所在,且採取最新的工作模式。
公司企業也應當提醒員工,公共 WiFi 不可能安全無虞。威脅偵測暨反應專業公司 Redscan 技術長 Andy Kays 表示:「每個人都不該用公共網路處理銀行事務,因此也不該用公共網路存取工作機密文件(2)。請鼓勵員工僅使用安全的 WiFi 存取點,或透過安全 (VPN) 連線連上公司網路。經由 4G(或外接網路卡)連線也是個好方法,如此能讓員工透過良好安全的連線連至服務供應商。」
2. 用密碼保護一切
若發生重大的資料外洩事件,GDPR 很可能有權對公司處以高達全球營業額 4% 的罰款。除非能顯示資料經過適當加密,才能逃過一劫。
歐盟 GDPR 文件工具套件的製作者,羅馬尼亞籍的 Andrei Hanganu 表示:「這世界上沒有所謂的萬全安全防護,連 Nasa 都被駭客入侵過。但強效的密碼和適當的加密解決方案可以保護個人資料的安全,不會落到未經授權的使用者手中。」
大多數的公司企業都有準備軟體來加密硬碟和儲存在硬碟上的檔案,但不會自動加密遠端裝置。Hanganu 建議準備好筆記型電腦、行動裝置、個人桌上型電腦所需的加密軟體,而使用者只需要以 PIN 碼或密碼即可存取資料,並還原成可讀取的格式。所有員工都需養成好習慣,使用密碼保護好一切。
3. 保持無毒狀態
病毒和惡意軟體的攻擊會收集和追蹤資料,表示它們也在 GDPR 的規範範圍內。Commvault 的 EMEA 解決方案行銷部門主管 Nigel Tozer 表示:「惡意軟體太難以防範,對大多數公司而言,問題不是會不會遭到攻擊,而是何時會遭到攻擊。」(4)Tozer 建議以最新版本的作業系統和防毒軟體來確保員工的裝置受到妥善保護。
Andy Kays 也表示:「公司組織的安全防護措施中,人總是最脆弱的環節。若有一個員工按下了惡意連結,或是沒有更新系統,可能就會招致災難性的後果。因此,一定要透過定期的員工訓練來加強對網路安全風險的警覺性。尤其是遠端員工可能會在多個位置透過不同網路以多台裝置來存取公司的資料和服務,特別需要注意。」
公司企業也要考慮採行與 IT 部門定期開會,讓員工將行動裝置帶來定其接受安全檢查、更新、升級。
若資料離開了辦公室,貴公司是否有策略可以保護資料的安全?
4. 勿忘人眼可見的安全防護
Briefed GDPR Training and Consultancy Specialists 訴訟律師暨執行長 Orlagh Kelly 表示:「身處科技先進的世界裡,很容易就忘掉其實可以透過低科技的方式竊取到公司資料。」(5)
3M 進行的一項實驗中,臥底駭客在 88% 的測試裡單單從背後偷看電腦畫面,就能取得機密資訊。」(6)
Kelly 表示:「請鼓勵員工留意在辦公室之外工作時,是否有人能從他們背後偷窺。」可以考慮配發螢幕防窺保護貼,貼在螢幕上即可防止有人從側面窺視畫面。
5. 瞭解雲端的限制
根據 Ponemon Institute 的研究,有 44% 儲存在雲端環境中的企業資料未受到 IT 部門控管。因此研究也發現,使用雲端服務會讓資料外洩的可能性提高三倍,代價達 $2000 萬。
Nigel Tozer 表示:「選擇合適的雲端服務供應商非常重要。一定要完全知道對方會如何處理資料外洩的問題,因為兩方都有責任。若所有資料都在歐盟內,雲端供應商應當保證他們保存資料的方式會符合您法律上的需求。而且要確認資料離開歐盟範圍後,是否仍在 GDPR 相關方面有受到妥善保護。」
Tozer 強調,關係到 GDPR 時,雖然雲端服務供應商是資料的處理者,但公司這方式是資料的控制者。「(也就是說)貴公司有責任要檢查供應商的資格,確保供應商必會實施符合歐盟新規定的適當技術和組織安全措施。」
6. 尊重員工的隱私
DMPC 公司的 GDPR 顧問 George Harris 認為,若公司目前有使用一些工具或技術在監控遠端員工的工作效率,則需思考如何協調這份好意和保護員工隱私的需求:「(監控員工)在標準的公司環境中,很難站得住腳。」
根據 GDPR 的標準,要監控員工的裝置(透過按鍵記錄和滑鼠追蹤的方式)而不侵害員工的隱私權,實在是件不好辦的事。GDPR 第 29 條工作方規定:「用於監控通訊的技術可能會造成寒蟬效應,侵害員工安排、敲定會議以及私密通訊的基本權利(包括追求資訊的權利)(9)。」
7. 準備好資料外洩反應方案
專精於網路安全、資料防護、隱私權的 Jaw Consulting UK 總監 James Walker 表示:「資料外洩有各式各樣的形式,包括惡意軟體攻擊影響到某人的筆記型電腦,有員工把工作用的手機忘在火車上,或是寄電子郵件時不小心用副本而非密件副本把資料記錄寄給許多人。」(10)
雖然首先的直覺反應就是開始損害控制程序,但在 GDPR 的規範下,採取行動的急迫性更高了。Walker 表示:「公司有 72 小時的時間可以通知受到影響的個人和相關的資料外洩監管機構,要提出外洩可能造成之後果的分析報告,以及計畫採取何種措施減輕負面影響等資訊。」
記得之前提到的高達 4% 的罰款嗎?如果無法符合規定,就有吃罰款的危險了。Walker 表示:「要避開這種繁雜的通知程序的唯一方法是,要能夠證明資料外洩不會對自然人的權利和自由造成任何風險。如果展現出資料有受到妥善加密,就能成功,甚至不需將這類意外回報為資料外洩事件。」
資料來源:
(1) https://datacomply.co.uk/
(2) https://www.redscan.com
(3) https://advisera.com/eugdpracademy/eu-gdpr-documentation-toolkit/
(4) https://www.commvault.com/
(5) https://www.briefed.pro/
(6) https://www.3m.co.uk/3M/en_GB/privacy-protection-UK/visual-privacy-issues/visual-hacking-experiment/
(7) https://www.ibm.com/security/data-breach
(8) http://dmpc.ltd.uk/
(9) https://www.huntonprivacyblog.com/wp-content/uploads/sites/18/2017/07/Opinion22017ondataprocessingatwork-wp249.pdf
(10) https://www.jawconsulting.co.uk