我們深知資安事件的嚴重性,除了第一線把關,也積極向用戶宣導資安相關概念,邀請 NPO 夥伴們與我們一起協力保障資料安全。所以9月中時我們邀請到「資安警察」-賴重睿巡官,為 netiCRM 客戶舉行免費的內部資安講座。
這篇我們整理出講座精華,聚焦在組織和個人該如何保護珍貴的資料、遇到資安事件時該如何因應,希望讓沒參加到的人也能一起提升資安意識!如果您是 netiCRM 用戶,歡迎到 netiCRM 夥伴專屬的 FB 社團下載簡報檔。(簡報目前僅提供給本公司客戶,
目錄
遠距上班資安問題
實體安全設備&環境
- 公務電腦或個人電腦的使用界線
- 確保電腦不會被沒有被授權的人隨意的使用
- 不將電腦放在明顯處
- 開啟自動鎖定功能(休眠)
- 加密硬碟、系統更新與維護
- 開啟裝置搜尋功能
網路安全
- 確保 WIFI 協定:WPA2 / WPA3
- 要設 WIFI 密碼(不要用預設密碼)
- 更改 WIFI 管理員密碼
- 智慧家電連線要有帳密
- 更新 WIFI 軟、韌體
- 不要使用公開的WIFI
使用何種會議軟體?
軟體有很多,像是 Teams, Skype, Zoom, Webex, Google Meet, Jitsi Meet...選擇時應該考慮:
- 地緣政治因素
- 軟體開發者的承諾
- 是否禁得起第三方具公信力組織團體檢視
- 發生事件後是否改進並給得出交代
注意事項
- 會議連結權限限縮(僅限企業內部)
- 需要主講者允許後才能加入
- 分享畫面再三確認,需熟悉軟體操作
- 家人隱私
- 背景處理→模糊、更換背景
- 鏡頭蓋、鏡頭貼
個資法——如何避免個資外洩
- 不直接將個資傳遞(明碼傳送)
- 加密(壓縮檔、PDF)
- 檔案及文字分開
- 不使用 USB 等隨身裝置
- 紙本資料非必要保存時直接銷毀(碎紙機)
- 注意傳送個資管道是否正確(用什麼軟體、傳給誰?)
- 個資遮罩(Ex. 賴O睿)
密碼安全的三大要點
- 不使用太簡單/太常見的密碼
- 不同的帳戶使用不同的密碼(密碼管理器)
- 啟用雙因素驗證/多因素驗證
使用設備
- 你的手機型號很舊了嗎?(Android 8以前、iOS 13 以前)
- 使用的科技產品多樣化程度(手機→穿戴式裝置→家中物聯網、車聯網)
- 設備製造商、軟體
使用環境
- 確保環境安全、連線安全、密碼安全、人員安全
- 加裝防窺片保護貼以避免被窺伺
雙因素(Two-factor Authentication)驗證機制
建議開啟兩步驟驗證功能,例如:Google、Facebook、Instagram、Microsoft/Outlook,降低被駭風險。
App 是否允許存取?
下載 App 前要先確認是可信任的來源,也要注意不要開放過多權限給 App,以免個人資料外洩。
(簡報提供:賴重睿巡官)
網站設計問題
網址開頭如果是 HTTP 代表沒有加密功能,相對於 HTTPS 開頭網站有更高的風險。(可注意瀏覽器網址欄左側有沒有「不安全」字樣)
資安防禦之道
- 平日養成重要檔案備份習慣,分散資料毀損之風險
- 對於來路不明之郵件提高警覺
- 網路危機四伏,瀏覽應特別注意安全,並持續更新瀏覽器至最新版
- 選購具信譽之防毒軟體,增強電腦上網防護能力
- 定期維護電腦安全狀況,時常更新
- 若有多組帳號密碼,需定期更新、最好能開啟雙因素驗證
- 了解新聞時事脈動,降低資安風險
問題:如果我覺得被駭、個資外洩,或是怎麼會在我看了某東西後就推廣告給我?
可以先檢查以下項目:
- 有些網站會追蹤使用者習慣及分析興趣,推播你可能會喜歡的內容廣告(cookies)
- 有沒有填寫免費問卷,或進入非正式管道進入之商店
- 有沒有允許第三方應用程式記錄個資
- 有沒有下載打開不明文件或程式
- 系統效能有沒有明顯下降
覺得有問題(異常)怎麼處理
- 手機端:查明異常原因、資料備份、掃毒、重置
- 電腦端:網路確認、工作管理員資源使用量、拔掉網路線、備份、掃毒、重置
- 確認目前手邊資料狀況
- 尋求人員協助
四原則
- 進不來:防止病毒、惡意程式等外部攻擊進入機關內部網路
- 出不去:防止機關內機敏文件資料遭竊取或上傳至外部網路
- 打不開:資料不慎外洩,無法直接解析資料內容(資料加密)
- 查得到:資安事件發生時,能先自我查核;發生後進行災害管控
發現可能有資安事件時怎麼辦?(以詐騙為例)
NPO 們可能有多重收捐、募資管道,首先要向捐款人問清楚電話號碼、捐款明細,釐清可能發生資安事件的來源,同時也要提醒其他捐款人注意類似事件。再來到警局報案的最終目的可能不是抓出犯人,但透過報案、進入偵查流程,有助後續的責任釐清,以及整個資安環境的改善。最後是組織內部要進行資安重整,才能預防下次資安事件的發生。
(簡報提供:賴重睿巡官)
加強資料庫防護
- 機敏資料採取加密、遮罩、混淆等保護機制
- 使用高安全性之加密簽章憑證,使用加密傳輸協定傳遞資料,採行更安全加密演算法
- 啟用帳號與密碼原則設定,強化帳號密碼安全性
- 定期分析資料庫稽核紀錄,發現潛在異常行為
Q1:想詢問若單位合作的網路廠商,在資料保管上面有疏失,如廠商員工販售資料,以致資料遭竊,這樣可能會有哪些民事或刑事的法律責任?我們又如何在不懂網路技術的情況下,在這些案件中確保單位的權益不會喪失?或是如何預防?(使用網路服務單位的立場)
賴巡官:販售資料觸犯刑事法,民事上則可能會有對客戶商譽的賠償。雖然企業使用資料都有一定規範,超出範圍使用可能就會觸犯法條,沒簽合約也有機會求償,但為求保險最好還是簽保密協定、至少合作備忘錄也好,雙方檢視客戶資料時都有更明確的步驟確認。在和網路廠商合作前,可從兩處著手預防:
- 思考產品公司的背景:信譽/同行推薦/通過認證/資料庫做什麼保護等。
- 找資安顧問協助檢視有沒有問題。
― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ―
Q2:請問一個五十人的非營利組織,要怎麼列資安預算?有優先序嗎?
賴巡官:要看組織預算怎麼編,人事、活動等成本攤平後,剩下的錢有沒有夠去做安排。比如一年規劃5-10%的預算,OK就去增加。每個組織狀況不同、預算差很多,比較難給建議,其他單位的預算參考:一般公務機關像警察局大概每年800-1000萬,台北市1億,金融界資安約20-30億⋯⋯也建議可以詢問顧問。
主持人:微軟之類也會編列很多預算,但公司大更容易被鎖定,還是會發生資安事件,之前聽資安講座提到「木桶理論」——資安意識最弱的人會成為缺口,與其投資在硬體或顧問、認證上,可以針對內部人員的資安意識提升來做教育訓練。
賴巡官:對,可以從管控人員使用習慣、設備的更新淘汰等逐步做加強。
― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ―
Q3:想請問是不是安裝防毒軟體或是上網使用vpn就可以比較能防止駭客攻擊呢?
賴巡官:可以防止技術面的攻擊,但假設個人使用習慣不好也沒有用,比如很明顯可以知道帳號密碼,駭客根本不需要攻破防毒軟體和VPN的技術。
― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ―
Q4:非營利組織該如何面對詐騙?(例如詐騙集團傳詐騙訊息給民眾,說某非營利單位扣了他的捐款或是紅利有捐款給非營利組織)
主持人:捐款人需要常被提醒,可以在募款頁、捐款成功確認信等加註警語。
賴巡官:建議明確告知捐款人只會拿捐款資料做哪些應用。我明白非營利組織會有些顧慮,好像放太多反詐騙宣導,忽略/排擠到感謝訊息。但不怕一萬只怕萬一,寧可多騷擾一點,也不要讓捐款人什麼都不知道。發生事件時也應該主動去告知捐款人相關詐騙資訊。
― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ―
Q5:想問如果連咖啡廳的wifi,但沒有登入和客戶有關的敏感資訊,例如捐款人資料庫或金流平台後台。這樣仍會導致電腦中存檔的敏感資料被竊取嗎?
首先要向商家確認名稱跟密碼(確保沒連到其他wifi)、也盡量不要處理機敏資料傳輸,其實被駭機率沒這麼大。裝防毒軟體跟 VPN 也可以增加安全性。
― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ―
Q6:平時都是透過新聞才知道駭客的攻擊手法、方式想請問有沒有什麼資訊平台也可以得知呢?
想要比較即時的訊息還是國外媒體居多,而且偏技術內容,國內的話可以參考 ithome、趨勢科技,或一些podcast,雖然不一定是最新消息,但還是能獲取很多關於駭客、資安的資訊。
― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ― ―
我們猜想有些 NPO 夥伴可能有相關資安問題,如果您有需要,歡迎填寫聯繫我們表單,我們將協助轉介賴巡官。