一次資料外洩足以致命 文件安全工具堵塞源頭漏洞
中小企發生一次資料外洩(Data Breach)事件,代價平均會有幾高?答案是約港幣48萬!相關數字由馬來西亞政府部門發表,香港作為國際金融中心,客戶來自全球各地,受著不同國家的私隱法保護,中小企一旦遭受網絡攻擊,維護系統費用再加上因私隱法帶來的罰金,隨時有可能令公司一鋪清袋。要從源頭杜絕資料外洩風險,引入文件安全(Document Security)解決方案,絕對是最穩妥選擇。
企業數碼轉型的安全風險
香港生產力促進局發表的《香港企業數碼轉型》調查報告顯示,72% 企業管理者表示希望通過數碼轉型(Digital Transformation)減省營運成本及改善企業內部流程,當中又以「無紙化」視為其中一項重要工作。站於企業立場,無紙化不單有助節省成本及方便管理,更是將公司檔案作雲端備份及導向文件流程自動化的必然結果。雖然無論以實體或數碼化方式保存文件,同樣牽涉人手管理風險,但數碼化文件卻讓外人可遙距接觸這些機密資料,大幅增加資訊安全(Data Security)的風險。對於資源不多的中小企來說,引入成本較低、管理較容易的文件安全解決方案,可說是數碼轉型旅程所不可缺少的一環。
中小企更易成為攻擊目標的原因
無可否認,企業面對的網絡攻擊日趨嚴重。不過,不少管理者仍以為大企業才是黑客首選,實情卻是中小企反而遭受最多網絡攻擊。
防禦意識薄弱 | 中小企資源較少,較少將資源投放到網絡安全培訓上,導致員工上下都缺乏安全意識,較易受到攻擊。 |
密食當三番 | 黑客傾向捨難取易,寧願攻擊防禦力較薄弱的中小企,成功率會較高;而且部分黑客如要發動 DDoS 攻擊,平常便須預先入侵及收集大量電腦資源,中小企便同樣成為目標。 |
攻擊大企業的踏板 | 黑客傾向捨難取易,寧願攻擊防禦力較薄弱的中小企,成功率會較高;而且部分黑客如要發動 DDoS 攻擊,平常便須預先入侵及收集大量電腦資源,中小企便同樣成為目標。 |
主動預防資料外洩的方法
從上述情況可見,中小企在網絡攻擊中不可能獨善其身。要確保資訊安全,防止資料外洩,企業必須主動做好預防資料外洩(Data Loss Prevention, DLP)工作,認真考慮採用合適的文件安全解決方案。文件安全解決方案 | 簡介 |
文件加密 (Encryption) | 將文件或檔案以高階演算法加密,必須擁有密碼才能打開。另外,亦可為傳輸渠道進行加密,確保資料被截取後也無法被解讀。 |
存取管理 (Access Control) | 為每個帳戶設立存取檔案的權限,限制可接觸的檔案範圍。 |
數碼權限管理 (Digital Rights Management, DRM) | 控制電子檔案如文件、設計圖、影音內容的用途,包括編輯、抄寫、複製、打印等,亦可控制在內容中加添水印(watermark)。 |
文件安全管理概念的三個層次
文件加密可說是最基本的文件安全保護措施,因為數碼化後的電子文件可經不同途徑攜離公司,例如抄寫到 USB 儲存裝置、雲端共享資料夾、電郵附件等,一旦在過程中遺失裝置或被黑客入侵,資料便有可能外洩,因此將電子文件或檔案加密,便能確保持有密碼的人才能打開。
存取權限管理是一種較高層次的安全措施,用於限制文件只可被指定員工接觸,例如可因應員工的職級、工作崗位,賦予不同的存取權限。因為文件加密所使用的演算法始終有可能被破解,因此限制人流便可減少文件外傳的風險。進階版存取權限管理可透過分析帳戶異常行為或加入多重因素驗證(Multi-Factors Authentication),阻止非法盜用帳戶入侵。
而在三者之中,數碼權限管理則屬於安全度最高的文件保護安全措施。一般來說,機密或重要文件只會保存在中央裝置,獲授權的員工才能在公司電腦或遠端桌面介面(VPI)打開及編輯文件。與存取權限管理不同的是,數碼權限管理可更細緻地限制指定對象使用文件的方式,可防止員工在打開文件後,以抄寫、複製、打印、屏幕截圖等方法暗中盜取文件內容;即使是獲授權執行上述動作的員工,相關動作也會被自動記錄下來,令文件安全性得到更有效的保護。
採用文件安全解決方案的好處
增加阻嚇力 |
由於每次存取檔案都有詳細記錄,當有外洩事故發生,便能輕易追蹤誰人曾接觸被外洩的資料,令員工不敢盜取重要資料。 |
提升員工安全意識 |
公司有嚴謹及明確的安全措施,變相令員工了解處理檔案及文件重要性,便能自然套用於其他日常工作上,例如收發電郵、複製公司資料等,減輕網絡安全人手不足所帶來的風險。 |
減少侵權行為 |
透過添加密碼、數碼水印、閱讀次數或限時銷毁等方法,可有效控制文件或檔案在外流傳的風險,有效減少侵權行為。 |
滿足安全法規需要 |
各國政府為不同行業的數據儲存訂立了各種安全法規,例如歐盟的一般數據保護法(GDPR)、醫療機構的健康保險便利和責任法案(HIPAA)、金融業的金融服務法現代化法案(GLBA)等,合符標準的文件保護解決方案,則可在滿足法規需要之餘,讓企業更容易完成審計或資料外洩事故調查報告。 |