假期通常被认为是一年中最美好的时光。员工们会离开办公室,让信息安全专业人员有机会喘息一下。但是在休息之前,一定要采取措施保护员工个人设备上的企业信息。
个人设备上的敏感信息
如果您的企业采用了完善的自携设备办公(BYOD)策略,并且员工了解使用个人设备办公相关的潜在风险,那会相对安全一些。否则,如果假期出现紧急情况,要求员工在办公室以外甚至离家解决工作问题,可能会造成一些与网络安全有关的问题。
重要的是要记住,很多公司都在使用移动通信。企业员工会在设备的通讯录中保存同事和合作伙伴的联系信息
有些设备还会保存语言通话信息。某些智能手机具有自动录制电话通话的内置功能,其他设备用户也可以使用第三方应用实现这一功能。
网络罪犯喜欢度假者
度假中的人都很放松,不会像其它时候那样自己监控自己的设备,包括智能手机和平板电脑。假期期间,将自己喜欢的设备带离公司所面临的风险尤其大。最有可能的是,被盗或丢失的设备在出售之前数据被清空。但是,渴望数据的盗窃也在虎视眈眈地盯着这些数据。
请记住,攻击者无需从设备主人的口袋中取出智能手机也可以访问有价值的信息。很多度假的员工会使用公共Wi-Fi——这样做确实方便,但是会带来更大的风险;网络罪犯会监控无线网络,试图拦截数据。
机场和其它公共场所的USB充电器也同样面临这样的安全问题:这些设备也可被用来从设备上窃取数据,还可以感染恶意软件,例如间谍软件。
可能出现的后果
商业秘密一旦落入坏人之后,其代价是严重的。有关潜在的兼并、收购、商业计划、财务报告以及其他企业数据的信息可以出售给竞争对手,给您的企业造成严重后果。但是,这还只是表面上的危害。
与同事时间的通话录音可能不会泄露任何官方机密,但是从中收集到的信息可能非常适合进行涉及社交工程的敲诈或攻击。
企业员工设备上存储的联系人也是钓鱼攻击者非常想要的信息。泄露的通讯录信息可能包含在线无法查询到的联系方式。这些联系人知道外部人员通常是无法联系他们的,所以更信任其通讯录上的人发送的邮件,其信任程度要超过那些联系方式在企业官网上公布的同事。
卡巴斯基实验室大中华区总经理郑启良提醒您如何在假期降低数据泄露风险
试图阻止员工使用个人设备从事工作是不可行的。即使是非常严格的禁令,也有人不遵守。为了保护企业数据不被外人获取,我们建议对员工进行基础信息安全培训,包括培训如何安全使用智能手机和平板电脑。至少,在假期放假之前发一份备忘录。
· 向员工解释如何采取恰当的安全措施来保护个人信息安全,包括联系人信息、照片和银行卡信息,避免被他人窥探或获取。
· 鼓励员工学习更多有关保护个人数据的简便方法。强调数据加密、双因素认证以及高强度密码的重要性,并讨论如果设备被盗,应该如何做。
· 让员工了解使用公共Wi-Fi的危险,应该如何做来保证安全(例如通过使用VPN)。
· 建议员工对手机进行充电时,使用插座,而不要通过连接到计算机上的USB数据线。
· 向员工解释在个人移动设备上安装可靠的具备反盗窃技术的反病毒解决方案的重要性。
最后祝所有人节日快乐
