企業防疫啟動居家上班 四要三不避免營運機密裸奔

為防範新冠肺炎疫情擴大,越來越多部會與企業陸續啟動「居家上班」,透過應用軟體開啟視訊會議取代面對面開會,但專家提醒,透過網路取代實體會議必須留意帳號、密碼與機密文件外洩等問題,透過「四要三不」落實資安控管避免重要資訊因此「裸奔」。

KPMG 表示,四要包括「要」啟用密碼限制參與人員、「要」啟用點對點加密、「要」辨識所有參與會議人員、「要」隨時將遠端會議軟體維持在最新版本;三不則有「不」重複使用相同進入碼與會議室編號 、「不」用不明免費無線網路資源進入遠端會議、「不」隨意啟用會議內容錄影或儲存會議資料功能。

KPMG 安侯企管公司執行副總經理謝昀澤表示,網路遠端會議系統應用可減少群聚感染風險又能維持溝通力,但也要留意資安風險,舉例來說,近期爆發的 ZOOM 的系統漏洞恐引發個資、帳號外洩,甚至回傳加密金鑰到中國等事件,就值得引以為鑑。 

謝昀澤表示,企業使用遠端會議系統前必須先根據遠端會議內容進行分級,例如區分為「普通」、「敏感」與「機密」拿不同等級,透過會議分級讓與會者了解會議機密等級外,也能避免參與會議者忽略會議重要性,在遠端會議上暴露機密性資訊與個資。

KPMG 安侯企管公司資安實驗室主管副總經理林大馗指出,可讓網路遠端會議更放心,其中四要包括,「要」啟用密碼限制參與人員,必要時更可啟用多因子認證 (Multi-factor authentication) 與「要」啟用點對點加密 (End-to-End Encryption, E2EE) 會議內容,避免遭有心人士側錄。

另外,企業還「要」辨識所有參與會議人員,包含匿名加入者 (Anonymous)、一般使用者 (Generic user) 等難以辨別之人員名稱,以及「要」隨時將遠端會議軟體維持在最新版本 (Latest version),避免漏洞沒被更新。

而三不則有「不」重複使用相同進入碼 (passcode) 及會議室編號 (Meeting ID)、「不」使用不明免費無線網路資源進入遠端會議,以及「不」隨意啟用會議內容錄影與儲存會議資料功能。

謝昀澤提醒,企業必須認知網路遠端會議與一般網路直播本質上大不相同,其中網路直播注重頻寬穩定、參與者眾與分享傳播,但企業的網路會議,則必須確認參與者身分確認、網路傳輸加密、溝通效率,及不得任意分享等事項,避免因遠端工作造成更多的風險議題。