2011年11月29日 星期二

防止內憂及外患 電子郵件才能高枕無憂


個人資料保護法即將修正通過,對於個人資料的保護更加嚴謹,而企業資料傳送的管道眾多,也讓企業如何保護個人資料的難度變得更高。中華數位科技產品經理王智衛指出,企業資料透過電子郵件傳送的比例超過五成,遠超過其他管道如即時通訊軟體或社交網站等,是關心個資洩漏問題的企業,必須優先關注的資安焦點。

電子郵件的資安重要性

王智衛指出,電子郵件目前與一般書面文件,其實已經沒有本質上的差別,承諾事項就法律效力來看,已經等同於書面或口頭承諾。公司員工發出的電子郵件,其實就已經代表公司的行為,公司必須負起法律責任,因此公司有必要訂定電子郵件政策,提出警告文字或負責聲明,並具體教育員工,以避免電子郵件成為個資外洩的管道。

但也因為電子郵件目前已是企業傳輸、溝通、承載資訊的重要工具,甚至已經相當於企業的數位神經系統。王智衛認為,企業必須找出讓電子郵件為企業工作的方法,用經營企業的角度來管理,以增進工作效率、降低成本、提高生產力及獲利,否則生產力不但無法快速提升,還可能讓企業面臨法律問題、重要資訊流失、資源耗用等威脅。

建立電子郵件緊急調閱機制

王智衛認為電子郵件的資安問題,可以分為內憂及外患。內憂在於法規環境的改變,讓企業必須承擔更多資料管理的責任,如企業必須要有良好的郵件備份策略及緊急調閱機制,才能在面臨訴訟時,能夠立即證明無故意或過失,並且已經善盡保護的責任。

值得注意的是,在公司發出的電子郵件中,雖然不見得會洩漏完整的個人資料,但如果將多封電子郵件的內容加以對照、組合或連結,進行所謂的「資料拼圖」,仍可能造成特定個人資料因此外洩,企業仍然不能免則。王智衛建議,企業應該要做好電子郵件個資盤點,利用歸檔設備搜尋電子郵件,是否有個資法定義的相關欄位,以避免「資料拼圖」的問題發生。

定期偵測弱帳號密碼管理

至於外患方面,要防止的對象包括駭客攻擊、帳號密碼被竊等,由於許多企業員工疏於設定密碼強度,王智衛表示,企業應該要做好電子郵件弱帳號密碼的防護,如定期執行SMTP認證密碼掃描,並進行掃描結果分析,同時提供防密碼猜測掃描,出現相關行為時,即可自動阻斷其來源,如果發現有濫發郵件的現象,更要儘快自動阻斷。

值得注意的是,駭客要透過電子郵件攻擊,其實會先取得郵件發信者的權限,因此發出的信幾可亂真,同時會用各種手法,引誘收件人開啟郵件中的附檔,因此諸如附件型垃圾信的防護、威脅郵件即時預警機制、社交工程攻防講習和演練,都是電子郵件資安管理,不可疏忽的地方。

內憂及外患 同時防堵才有效

王智衛強調,企業如果只注意外患,將無法做好內部郵件的歸檔,勢必無法做到線上、近線、離線的完整的調閱操作,可能因此無法滿足法規上的要求;如果只注意內憂,就做不到即時的新型攻擊防護,因此最理想的電子郵件資安策略,就是要同時防禦外部駭客,同時還要防禦內部資料外洩,才是根本解決之道。

引用自《科技商情

沒有留言:

張貼留言