資服產業及資訊部門近期面臨種種挑戰,強化數位韌性成為首要任務,包含益發嚴峻的國際資安攻防、各項法規的新版遵循(ISO27001/資安議題/個資新法)、數位跡證的完備保存、ESG 的國際規範還有善用 AI 的議題。上列議題將造成全面產業影響,並不只是限於一般企業、公務機關或是資服業者,例如在個資新法規範下,每一個單位組織都可能有相關事業主管機關進行較有強制力的規範。角色轉換的節奏也必須非常明確,同一間企業可能身負多重立場,有更多元的權利與義務,該如何權衡分配有限的資源,以利妥善面對各項當代挑戰,成為各企業組織資訊長(或資安長)的當務之急。
因應不平靜的資安及社會動態,眾多相關規範紛紛改版、修正,以符合時勢所趨。個資法於去年五月修訂,並於第 27 條說明「中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。」(註 1)也就是各產業有需要遵循的個人資料檔案安全維護管理辦法、更要有避免個資被大量外洩的實際措施。例如當檔案分享或郵件外寄時,資訊服務可以快速偵測是否有不適當的個資隱藏其中,並提供第一時間的阻擋警示。
ISO 27001 於 2022 年正式公告新版,為了更周延地維護資訊安全管理品質,新增了 11 項全新的控制措施,要求認證企業因應。(註 2)其中 8.12 資料外洩防護(DLP, Data Leakage Prevention)要求針對敏感資訊的傳輸,搭載預防外洩的機制,避免重要資料未經授權地對外揭露。例如工作溝通常用的 Email 及檔案交流平台的須備有稽查審核機制。而在 5.7 威脅情資(Threat Intelligence)方面,要求企業應妥善地收集分析資安訊息,以產出威脅情資,並盡可能緩解潛在的威脅衝擊。例如在導入工作信箱平台的時候,就可以詢問是否有雲端即時過濾防護的功能,或是能否以加載的方式輔助收集並過濾網路威脅因子,例如避免使用者直接觸及帶有風險的 QRCode 釣魚信攻擊等。而關於檔案分享與收集的過程,則是更要留意是否有勒索病毒的過濾機制。
而鑒於近日有多項資安攻防戰,零信任架構已被許多政府 A 級機關要求實作,而數位跡證的關鍵地位與跡證保存的重要性也被逐漸重視,建議企業在採用新的資訊服務之前,可先確保數位跡證或存取 LOG 是否妥善保存、便於取得。此外,透過管理者操作紀錄循跡查出異樣、觀察駭客 try 密碼警示(異常輸入錯誤密碼)、管理者帳號權限異動或境外登入告警等監控通知信、密碼安全管理一覽表、弱帳號主動偵測告警等都是重要的資安健康盤查紀錄。
數位與永續同步運轉,環境永續的基礎之上才有企業永續,ESG 不僅是國際廣泛重視的議題,根據 iThome 2023 年度 CIO 大調查(註 3),ESG 企業永續首次入列台灣企業 CIO 的前五大目標(ESG 代表的是 Environmental 環境保護、Social 社會責任、Corporate Governance 公司治理)。碳排放量較高的大型事業體,將開徵碳費。金管會公司治理 3.0 永續發展藍圖,要求在 2027 年上市櫃公司逐漸揭露碳排量(註 4)。越來越多的企業開始學習衡量營運碳排量及產品碳排量,並為了努力減少碳排而提出各類實際作為,例如:減少員工上下班通勤造成的碳排量,而有遠距上班的興起、減少飛機碳排量,而增加視訊會議的次數。為了滿足各項先進趨勢的演進需求,資服設備的完善與彈性日漸受到重視。相比傳統各企業自行維護的大型自建主機機房,也有些企業開始評估,部分採用選擇有科學方法控管碳排量的雲端機房、綠色軟體或雲端服務。
上述種種法令或規範調整,對於資服業者或企業內的資訊單位來說,著實是一場營運、安全、與成本的平衡拔河戰;為了達成企業永續營運,「構築最佳化的資訊服務平台」是所有資訊人員一同併肩挑起的重要使命,而雲端服務正是一項被逐漸重視的資服方案。
常見的企業用雲端服務(SaaS)以工作溝通用的電子郵件服務、即時通訊、以及檔案分享為主。因為用於內外部溝通,所以會有資料對外輸出的隱私保密議題,避免重要資料被不適當的外洩,資料安全防護(DLP)是必須一起考量的安全問題。過去您可能會認為雲端服務只適用於部分小型組織,但隨著上述各項議題的發展,有越來越多的中大型企業與跨國組織,因應國際法規或供應鏈需求,也開始採用雲端服務,甚至覺得雲端服務的多元延展性及快速反應力,可以驅動更即時、更安全、並更有生產力的營運效能。
在訊息溝通的過程中,還存在著「微跨界應用」,讓工作溝通更安全,以下簡要說明,您可能比較少聽過、但著實重要的訊息溝通 3 件事:
1. 工作訊息,也應做好備份歸檔(工作訊息 X 歸檔調閱)
工作訊息深入工作日常,你可能常常發現辦公室靜悄悄的,沒人進行交談,但鍵盤正被快速敲打著,很多的工作事項都透過即時文字訊息、圖片檔案的傳輸,正在溝通、正在被執行!工作訊息絕對不只是一次性使用,不是只要能快速表達就好,必須要妥善地保護這些對話資訊。「工作溝通中我們常提及的關鍵字」也可能是我們自己的工作備忘錄,不僅自己常常需要回去聊天室查閱對話紀錄,也往往就是駭客開展攻擊行為的第一步藏寶箱,務必要有管理者功能做好妥善的歸檔保管年份與對談紀錄追查,電子蒐證保存範圍也能更完整。
2. 分享檔案有機密?該連結將無法下載(儲存雲 X 機密稽核)
各產業都有特別的機密檔案,你可以選擇把檔案留置在郵件外寄的審核區,當有疑慮的信件外寄時,讓外寄稽核區仔細的檢查是否有夾帶特殊機密資訊。而您也可以從根源著手,公務檔案統一存放在工作專用的儲存雲上,並直接設定稽核政策,讓不該外寄的檔案下載連結失效,更全面地避免機密外洩。
3. 訊息檔案避免外流?在限定 IP 才能下載(即時通訊 X 檔案安全)
保護工作機密,即時通訊軟體的使用方式也該可被管理!「即時通訊需要有管理者介面」是很重要的概念。常有重視機密的科技業管理者提出理想的工作即時通 APP,是要能限制檔案只能在辦公室 IP 才能下載、或只有在特定往網段才能使用 APP。此外,針對公司高層主管可進行「帳號隱身」,避免一般員工濫用跨層級溝通、與極機密工作專案使用「上鎖聊天室」溝通才更安全等特殊功能,也是有別於免費通訊軟體,作為一個「工作專用的即時通訊」可以照顧到的操作情境。
[參考資料]
註 1:個人資料保護法
https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021
註 2:資訊安全管理系統ISO27001:2022改版重點一次掌握,迎戰資安新挑戰
https://www.find.org.tw/index/indus_trend/browse/af209e7fbf8b096ce290ce49a21ddbd9/
註 3:【2023 CIO大調查:IT目標篇】ESG優先度今年超越數位轉型,3成CIO還重視AI創新
https://www.ithome.com.tw/article/157450
註 4:上市櫃公司永續發展行動方案(2023年)
https://cgc.twse.com.tw/responsibilityPlan/listCh
關於 MailCloud 工作溝通雲
MailCloud 工作溝通雲持續致力於提高用戶工作生產力以及強化數位韌性,從工程師資安意識、產品設計階段及雲端服務佈建環境皆以安全實用、法規遵循為導向,而進行研發上線等一連串嚴謹專業的雲端建置流程。目前也已廣獲百大企業與眾多重要政府機關多年好評認可採用。在未來趨勢應用方面,也投入資源研究人工智慧 AI 郵件應用、與後量子加密技術(Post-Quantum Cryptography,簡稱 PQC)等,會再陸續公告階段性研發成果。
MailCloud 工作溝通雲端套餐:https://www.mailcloud.com.tw/web/suite.html
(MailCloud 協助中小企業輕巧接軌國際雲端服務規格,不僅不漲價,更推出限期限額會員禮享方案 – 超值加購優惠,針對安全+、溝通+、分享+ 發表超有感優惠價格,更多資訊歡迎參考網頁說明。)