2020年3月26日 星期四

一起在家工作吧!給 NPO 的資安小補帖(3/27更新)



由於 COVID-19(又稱武漢肺炎、新冠肺炎)的疫情仍在持續中,組織要準備遠端或員工分流工作時,有哪些資安事項要留意和提前準備?底下整理了幾篇文章,歡迎組織趁這個機會制定組織內部的資安政策,不論在辦公室裡或遠端工作,都能盡量強化資訊安全的防護和準備。

本文內容:

一、關於 Zoom 視訊會議,你應該知道的資料蒐集與追蹤設定
二、在家工作(WFH)應注意的資訊與網路風險
三、線上免費課程(英文):轉向遠端工作的策略
四、相關文章

一、關於 Zoom 視訊會議,你應該知道的資料蒐集與追蹤設定

使用任何軟體或雲端服務,不免涉及到「個人資料如何被蒐集和使用」的議題。因此了解自己如何授權個資被蒐集和利用,是使用任何服務或開放權限時,使用者應該清楚被告知並主動檢視的部分。


(3/27更新)中研院資訊科學研究所的呂紹勳、陳伶志研究員在〈有關 Zoom 的資安疑慮與建議〉一文中,也給予了仔細的分析和七點建議,大家可依照文章內容檢視自己的使用和設定習慣。

在〈使用 Zoom?一些你需要警覺的隱私議題〉(Using Zoom? Here are the privacy issues you need to be aware of) 一文中,作者提醒了透過 Zoom 進行視訊會議時,主持人和參與者都應該了解的隱私議題,包括:




  1. 主持人可以開啟「注意力追蹤」功能,與會者如果透過 Zoom 桌面應用程式或手機 App 參與會議,沒有停留在會議畫面上超過 30 秒,主持人就會得知。這項功能由主持人決定是否開啟,但不確定與會者是否會預先收到被追蹤的通知。
  2. 如果會議處於錄製的狀態,那麼會議中給所有人的文字訊息會被存成一個 TXT 文字檔,供主持人使用。至於會議中,個人傳送給個人的訊息則不確定會如何被處理。(功能可見:會議內聊天 – Zoom 說明中心
  3. 個人資料的蒐集:未登入的狀態,Zoom 會蒐集你使用什麼樣的裝置,和你的 IP 位址。如果你透過臉書或填入資料登入,那麼 Zoom 會取得臉書的個人檔案公開資料,以及你登入時所填寫或上傳的相關資料。
    在 Zoom 的隱私權政策中,有明確提及不會販售資料給第三方來牟利,但不排除分享個人資料給第三方,以符合這些公司的商業目的。
  4. 2019 年 Zoom 曾有一個重大的資安漏洞,在 Mac 電腦上會繞過官方瀏覽器的安全機制,自動開啟使用者的鏡頭,並回傳給沒有加密資料的網路伺服器。這個漏洞已經修復,因此使用者將 App 和應用程式升級到最新版本是很重要的!
  5. 如何保護你的資料:
    1. 使用 2 個裝置參與視訊會議。譬如:透過瀏覽器參與會議,但使用手機來確認 Email 或發送文字訊息給其他與會者,避免被追蹤。
    2. 不要透過臉書登入。可以降低 Zoom 取得更多個人資料。 
    3. 保持 Zoom App 在最新版本。
二、在家工作(WFH)應注意的資訊與網路風險



感謝微軟的贊助,科技濃湯翻譯了 5 頁的〈12 個讓您安全使用網際網路的秘訣〉(PDF檔),這份小手冊適用於組織基礎的資安注意事項,涵蓋了四個層面:辦公場所、非辦公場所、安全地使用社群媒體,和安全地使用雲端服務。組織可以此為基礎,發展其他需要更加強化的面向。

而這幾年時常來網路星期二和 NPO 夥伴們分享資安觀念的 Allen,也寫了〈遠距工作的資安注意事項〉,組織的工作流程和使用者的個人習慣,仔細提點,文末特別提醒注意以下事項:

  1. 開放 VPN 服務前,注意帳號管理以及內網切割隔離,避免透過 VPN 存取內網任意主機。
  2. 雲端、網路服務務必使用獨一無二長密碼,並開啟 MFA / 2FA 多因子認證(按:可參考〈雙重驗證/兩步驟驗證是什麼?對於網路安全的重要性為何? – 資安趨勢部落格〉)。
  3. 使用雲端服務時務必盤點存取權限,避免文件連結可被任意人存取。
  4. 注意設備遺失、竊取、社交工程等實體安全議題。
  5. 網路是危險的,請使用可信賴的網路,並在通訊、傳輸時採用加密方式進行。



另外,在〈防疫期間,在家工作應注意的資訊與網路風險〉則從管理者的角度,提到組織整體工作規劃的安排,包括二個範例:「在家工作資訊與網路安全管理相關要求」和「內部防疫相關溝通電子報(每1-2週更新一次),視報告週期選擇內容」。組織在規劃遠端或分流工作時,最好提前 1-2 週進行規劃和部署。

三、線上免費課程(英文):轉向遠端工作的策略

為了因應疫情,科技濃湯的美國總部也特別開放部分的付費課程,組合為因應疫情的基礎系列,有興趣的人可以直接到「Pivoting to Remote Work — COVID-19 Response Course Track for Nonprofits」,點選右方課程清單下面的「Join Track」,簡單註冊帳號之後,即可使用。課程內容包括遠端工作部署、資安須知和 Office 365 的相關應用教學,可多加利用。

四、相關文章

  1. 一起來線上開會吧!給 NPO 的視訊服務懶人包(持續更新中)
  2. 一起來遠端工作吧!給 NPO 的協作小錦囊

0 意見:

張貼留言