IT業界資訊媒體

【唔想俾人偷走公司資料】緊記呢十五條戒條

大家唔知仲記唔記得,舊年十一月縱橫遊出過事,俾黑客入侵佢個電腦系統,偷走晒十幾萬個客戶資料不突止,黑客仲玩嘢幫成個電腦系統上鎖,要縱橫遊畀巨款贖返。雖然最後都解決到,但係一來要搞幾日,唔知唔見咗幾多生意,二來客戶資料真係唔見咗,唔知黑客會點用,最慘係人人都驚會再出事,點敢貿貿然再幫襯你,生意有排都唔慌會好……所以你話,電腦保安對一間公司幾咁緊要!

不過學阿寶話齋:「人類總要重複同樣的錯誤」,呢頭縱橫遊出完事,今年一月就輪到大航假期同埋金怡假期接連出事,手法仲要如出一轍!喂,理論上你見到行家瀨嘢,正常動作都會檢視一下自己個系統保安做得夠唔夠丫,事關一出事就真係手尾長,仲記唔記得 2013 年美國大型零售商 Target 被黑客入侵,導致超過 1 億用戶嘅信用卡、卡號、戶主、地址、郵件地址同埋電話被曝光,結果受害客戶集體興訟要求賠償,Target 最終要賠一千萬美元了事……再講多次,電腦保安對一間公司真係好緊要!

好喇,唔想重複同樣錯誤,可以點做?美國 IT 專欄作家 Steve Zurier 最近就寫咗篇文,列出以下十五點建議,特別針對啲用第三方供應商服務嚟維繫公司網絡安全嘅企業,點樣避免出事。仲未睇真公司個電腦系統保安做得夠唔夠嘅,就趁呢個機會跟足專家意見睇下啦!

1.

但凡要用第三方服務,可以參考幾間美國大銀行好似 JP Morgan、American Express 嘅做法,以問卷形式問晒對方嘅做法,仲要定期(每月、每季或者半年)去拜訪,睇下對方有否跟足。

2.

Verizon 2018 Mobile Security Index 報告話,32% 受訪機構話會因為遷就商業表現同貪方便,而犧牲流動裝置嘅保安,有 38% 仲話喺流動裝置保安方面,公司有好大機會出事……故事教訓係:記得搵間提供到可靠流動裝置保安嘅供應商先好用!

3.

要確保供應商有足夠技術同埋程序,喺公司系統有機會出事前作出提醒。

4.

科技嘅嘢日新月異,第三方供應商要確保有專人追貼市況,有咩新嘢識得即時幫公司系統更新。

5.

睇下供應商請咗乜嘢人,除咗例牌睇下班工程師有冇 CISSP 呢類資格外,有軍事、執法、政府背景或工作經驗嘅員工,出事時會幫到手,加分!

6.

有跟足 ISO 27001 嘅供應商,就確保佢哋無論喺財務、知識產權同埋員工等方面都有良好管理能力,信得過!

7.

如果公司需要處理來自歐洲的數據,供應商最好能通過 GDPR 壓力測試。

8.

黑客愈嚟愈鍾意用釣魚及社交媒體詐騙等手法,嚟氹第三者供應商落疊,所以要肯定供應商同埋合作夥伴認清晒呢堆手法,最緊要係無論對方定自己嘅員工,識得對呢類手法有所警惕。

9.

如果供應商個資訊保安總監(CISO),要隔幾重先搵到供應商個 CEO 或 CFO 嘅話,sorry,呢間供應商最好唔好用!時刻要確保對方個 CISO,可以直接搵到 CEO 或 CFO,同埋你公司最高職位嘅幾個人。

10.

NIST的FIPS 140-2 標準最初係為美國國防部而設計,而家好多政府部門同大機構都用緊,係加密通訊嘅最高標準,如果供應商有跟開呢款標準,出事機會就自然低好多。

11.

有同 SOC(Security Operations Centres)合作嘅,而且有用到自動工具監察網絡保安嘅,加分!

12.

雖然 threat hunting 費用好貴,未必間間公司肯做,但如果你間供應商或合作夥伴未來六個月或一年有打算做,就絕對值得考慮。

13.

問清楚供應商如果真係出事時,佢會點做,每個員工嘅分工會係點,同埋會唔會知會到我呢邊嘅IT同事。

14.

大部分情況都係客戶資料外泄而出事,所以要問清楚供應商點樣保護你啲客戶資料,係用長密碼、用其他加密方法、一次性 PIN、定係加入生物認證?

15.

最後再問供應商一堆問題,包括你哋點樣處理數據、你哋員工明唔明白客戶資料嘅重要性、處理敏感資料會點做、點樣保障知識產權、有冇計劃點樣培訓員工學習管理數據

……以上種種只要有一條唔識答或者答得唔好,out!

Privacy Preference Center