在家工作資安漏洞 網路攻擊釀全球危機

疫情讓眾多人選擇在家辦公，遠端登入公司網域時，卻令企業的資訊安全暴露於危險之中。

文／梁元齡 （本刊特約記者）　　　

新冠肺炎肆虐全球超過一年半，在許多面向上，疫情都改變了人們習以為常的生活，包括工作。為了減少人員接觸，許多職業都改為遠端辦公，不進公司上班。專家甚至認為，在家工作不會因疫情緩和而結束，而是慢慢成為新常態。

在家辦公資安風險高 全球78%企業遭攻擊

「在家工作（work from home, WFH）」晉升新潮流，在社群媒體上，許多人熱衷於分享自己的WFH撇步，大企業也不吝於傳授如何在治理上做數位轉型。世界經濟論壇（World Economic Forum）的最新調查指出，在未來，將有高達20%的全職工作，會全面改為遠端上班。疫情之前，這個數字只有5%。

與此同時，卻很少有人討論遠端辦公造成的隱性問題─資安漏洞。未受妥善防護的個人裝置、高風險的網路使用習慣、易遭攻擊的家用網路，這些不可控的因素，都對公司的資訊安全帶來莫大威脅。

根據網路代理商Atlas VPN的最新統計，全球各地的公司行號中，因遠距辦公所產生資安漏洞，進而遭到網路攻擊的比例，竟高達78%。

6月，資訊安全公司Ca rbon Black調查3,542家企業的首席資訊長、技術長、資安長，範圍橫跨各行各業、遍布14個國家。調查結果證實，愈來愈頻繁出現的網路資安問題，確實是因在家工作潮流所引起。

法國的情況最嚴重，有高達96%的企業都通報說，網路攻擊頻率相較過去大幅提高；澳洲也不遑多讓，約89%的資安專家都有回報遠端工作所引發的攻擊事件；英國、日本則有86%的受試者說，比起去年，他們遭受網路威脅的比例大增。

印度在2020年間，共傳出116萬例資安事件，比起2019年成長了不只三倍，平均每天有多達3,000件資安攻擊問題。而美國5月初也傳出，輸油管線因網路攻擊被癱瘓。同樣現象，在沙烏地阿拉伯、愛爾蘭、荷蘭、新加坡、加拿大等地都出現，放眼全球，無一倖免。

金融機構首當其衝 專家籲速優化風險管理

國際「金融穩定委員會」（Financial Stability Board, FSB）指出，新冠疫情是繼2008年金融危機後，對金融相關制度的首次重大考驗。截至目前，金融系統中的建置與設計都還堪用，最大的危機，卻出現在資安上。

FSB比對去年2月與今年4月下旬的數據，發現網路釣魚、惡意程式和勒索軟體這些攻擊活動的件數，從單週少於5,000件，成長到單週超過20萬件。他們向20大工業國（G20）及各國央行提交報告指出：「大部分的網路框架在建置時，都沒有設想到一個近乎跨全球的遠端工作情境，更沒有據此去嚴防網路威脅人士的攻擊行為。」

有鑑於世界各地頻頻封城、甚至即便解封，仍有多數企業維持在家上班，FSB建議，大部分的金融機構和相關企業都該強化資安防護，以應對新一波的遠端工作需求，避免大量員工在與公司連線時，使漏洞無限擴大。

「普遍來說，金融機構現階段韌性還算足夠，但針對資安風險管理的流程、資安事件回報、事件反應和重建機制等，或許得考慮做一些調整。」FSB指出：「另外，針對重要的第三方服務供應者，比如雲端服務，也應該調整一下管理措施。」

FSB由20多國央行、財政部、金融監管單位及專家機構所組成，監管全球金融體系。去年全球市場陷入混亂時，FSB曾經提案，建請各國當局強化金融韌性。他們預計在10月發布另一份最終報告，針對下一步採取的措施提出建議。

網路犯罪難追緝 歐盟提12點加強韌性

從法治面來說，資安問題特別棘手，因為多數網路攻擊事件都是跨國犯罪。要全面終結相關問題，在地理環境、公私領域上都牽涉許多模糊地帶。其中，許多犯案者來自俄羅斯、伊朗和中國這些政治上較敏感的區域，想靠跨國協力來阻止相關問題，格外困難。

歐盟網路與資訊安全局（ENISA）列出12項要點，提供中小型企業作為參考指標，強化自家的資安防護規格。除了在技術層面採用更可靠、更安全的措施之外，也包括資安素養的員工訓練、建立具備資安意識的企業環境、慎選第三方合作夥伴並妥善協作，以及制訂完善的回應計畫、建置備案。

ENISA指出，有效的資安管理對中小企業特別重要，因為這攸關組織成長與創新的方方面面。舉例來說，如果一家企業想加深與客戶的關係，那麼使用者個資管理、品牌與客戶的線上互動都將不可或缺，良善的資安風管就成為互動品質的關鍵之一。

本文轉載自《中央社全球中央雜誌》。