你認為規模不大的公司就不會成為網路犯罪者的目標嗎?美國電信公司 Verizon 公布的 2012 年度資料外洩調查研究顯示,在 855 件外洩案例中,有 71% 發生在員工總數小於一百人的公司,且 2013 年度的報告也顯示,小公司遭受攻擊的次數正逐年增加中。

Vikas Bhatia 是紐約的資訊安全專家,也是網路安全公司 Kalki Consulting 的執行長,協助各種組織機構處理資安問題。Bhatia 與他的組員曾為各種規模的組織服務,他發現小公司對於資安問題最不敏感,甚至毫無戒心。為了解決這個問題,Kalki Consulting 最近免費推出了《How To Guide on Cyber Security》,希望大家一同關注並正視網路安全問題。

在與 Forbes 的訪談中,Bhatia 談到了公司容易疏忽的資安漏洞,以及哪些簡單小舉動就能大幅降低被駭的機會。

  • 任何事都要提高警覺

Bhatia 首先分享了一個小故事。一個總共才由三人組成的小公司,在曼哈頓市中心租了一間小辦公室,而他們放在辦公室的三台 Mac Air 筆電最近被一位不起眼的小偷給偷走了。這間公司所有的資料都存在那三台筆電中,而且之前都沒有備份。在失去電腦後,他們也瞬間失去了耗費一年半的時間研發所得來的成果資料。

另外,有許多企業認為他們的資料十分安全,因為都儲存在雲端,但 Bhatia 可不這麼想。他問:「你知道那朵雲究竟在哪裡嗎?」他指出最近有許多案例是儲存在雲端的敏感資訊遭到盜取。

Bhatia 說了另外一個例子:有一位小型公司的員工被抓到從老闆那裡偷取機密資料,但 Bhatia 的團隊在調查後發現了一件更可怕的事:三個月以來,已經有來自全球超過三千五百筆意圖入侵該公司網站的紀錄。

Bhatia 問:「你們知道自己公司的網站是誰負責架設的嗎?有許多小公司會委託業者架設網站在 WordPress 等平台上,但這些開發人員有在為你們公司的網站安全把關嗎?他們對於資安問題有警覺性嗎?」

  • 網路預約牙醫也會被駭

Bhatia 提到:「我們常認為網路安全問題最常發生在成人色情網頁,但事實上光是到牙醫的網站去確認營業時間,都有機會遭到惡意軟體攻擊,讓信用卡資料、社群網站帳戶或是電腦中的檔案外洩。假如我想撈一筆(70% 的網路犯罪都是為了錢),我甚至能夠藉此收集足夠的資訊,以個人或公司的名義來申辦一張信用卡。」

  • 小公司常大意之處:透露出客戶或合作對象

Bhatia 表示,小公司拿客戶來當廣告是很正常的一件事,卻常因此一不小心就成了網路犯罪者眼中的目標,甚至連客戶都遭殃。例如,若網路犯罪者知道你的公司正在與全球投資銀行合作,他們就會知道你身上最起碼擁有與全球投資銀行之間的郵件往來,甚至在郵件內容或夾帶檔案中窺得產品設計、客戶名單等更多相關機密內容。

不久前 Bhatia 才與一位年輕的企業家見面,他在數個月前遭駭。首先,他發現他的 Facebook 帳戶遭駭。幸好他夠機警,很快發現自己的 Instagram 和 Twitter 密碼在數分鐘內也遭到盜取,且這些攻擊的目的研判是為了影響他的生意。

這位企業家表示:「我發現是我將自己的事業置於險境,因為我所有的社群媒體密碼都十分相似。」他立刻採取行動,買了名叫 LastPass  的軟體,為他的銀行帳戶、商業服務與社群媒體製作出更安全的密碼,並協助他管理這些帳戶。他認為:「這個軟體一年只需要 12 美元,而且擁有許多好用的功能。這個方法快速又有效,建議大家也這麼做。」

  • 五個簡單小動作,降低駭客侵擾機會

Bhatia 建議小公司進行以下五個簡易的步驟,將可大幅提升對於網路攻擊的免疫力:

(一)為每個帳戶設定不同的密碼,而且強度要夠強:假如你的密碼是字典裡有的字詞,就能在 30 秒內被破解!務必為電子郵件、社群媒體及商業帳戶設定不同的密碼,也可以考慮使用 LastPass 等密碼管理軟體來安全地儲存與管理密碼。

(二)定期備份資料、確保離線儲存這些資料,並且定期檢查檔案復原功能:Bhatia 表示:「我曾與許多遭受桑迪颶風波擊的公司老闆談過,問他們『是否有將資料備份保存?』、『那些資料存在哪裡?』,結果發現很多公司都將存有備份資料的硬碟或電腦,與其他電腦放在同一間房內,結果想當然是一起被颶風給摧毀了。」

(三)隨時將防毒軟體更新至最新版本,並隨時注意更新或補丁:Bhatia 表示:「防毒軟體公司都會假設使用者已下載並更新至最新版本。若你不想更新防毒軟體,那乾脆就不要安裝。」他也澄清,許多人認為 Mac 系統不會遭到惡意軟體攻擊或影響,但這是錯誤的觀念

(四)留意分享的個人資訊:有多少個人資訊是你自願公開的呢?罪犯只需要搜集到足夠的線索,就能夠拼湊出他們想要的資訊。此外,受害的可能不只你一人,還可能危害到所有與你有所聯繫的商業夥伴或社群好友。

(五)知道自己的「雲朵」在哪裡:你在雲端上儲存了哪些資料?你的雲端的主機在哪個國家、哪個城市或哪個州?你的資料是否被安全保護著?安全性有多高?假如你像許多其他的小公司一樣,使用的是便宜或免費雲端的話,務必問問自己這些問題。

Kalki Consulting 目前已擁有 25 位安全專家,且打算成立一個非營利組織,目的是幫助其他非營利組織建立網路安全保護機制。想知道更多網路安全技巧,可以參考 Kalki 製作的《How To Guide for Cyber Security》。

(資料來源:Forbes;圖片來源:devdsp, CC Licensed)