風險已提高,而資訊安全團隊和他們的資訊部同仁正面臨前所未有的挑戰。儘管我們密切監控網路、增強防火牆和安裝修補程式,仍有可能忽略一個關鍵性的漏洞–那就是一雙緊盯著我們看的雙眼,而敏感資料正從我們的電腦螢幕上暴露。
所有資料遲早會變為可視資料,當真正發生時,³很容易造成螢幕資料遭到偷窺。
「對手背後的資源通常比公司的資源還強大,成為一場不公平的戰役。」
—John Brenberg,資訊安全、風險管理與法規遵循部門
下次您參加會議或活動時,請花一點時間環顧四周,並記下手機和筆記型電腦上顯示的數據暴露量。任何在旁邊徘徊的人,都有機會快速拍下螢幕上暴露的敏感資料,這一切都只要一眨眼的功夫!在全球螢幕資料偷窺實驗中,一個頭戴白帽的研究員經過辦公室,只花了81%的時間,就成功得到敏感資料。⁴電子數據外洩時通常會留下讓鑑識人員可以追蹤的線索,然而螢幕資料偷窺卻完全無跡可尋。
保護螢幕資料隱私,只需簡單一步驟!
有意或無意的,內部人士要對30%外洩給未授權人士的資料負責。⁵ 想想這些平日就會在大樓辦公室走動的人-包括訪客、承包商、送貨員,甚至不同部門的員工。想想每個人可以看到什麼?這些資料價值多少?
低成本的解決方案其實一直存在。
將螢幕防窺片固定在螢幕上,專門設計讓使用者可以清楚的看到螢幕,但同時擋住側視,坐在旁邊的人也無法讀取資料。
「螢幕防窺片是資訊安全的最後一道防線,這是資訊部專業人士想的不足夠的部分。」
—Ed Nelson,3M全球電腦硬體主管
3M和其他財富500強公司已經開始採取行動。大部分員工在10多年前已從桌上型電腦改用筆記本電腦。3M資訊安全團隊瞭解,螢幕防窺片是完整資訊部資料保護計畫中不可或缺的一環。投資在螢幕防窺片背後的動力,是為了保護智慧財產、營業機密、通訊與客戶資料。現在美國3M的每個員工,都配有一套附有螢幕防窺片的筆記型電腦。
John Brenberg,3M資訊安全、風險管理與法規遵循部門主管,與其他公司的同行討論到資料保護時,他常常觀察到「和我們一樣,電子安全措施往往讓他們應接不暇,更別說有足夠的頻寬來用有形的安全措施來達成螢幕防窺。John補充說到:「偷窺是無情的,而且這樣的威脅會一直改變。」
「我們的員工到世界各地出差,且一直抱持著高標準。我們需要提供他們工具來符合更高的期待。」
—John Brenberg
即使身為螢幕防窺解決方案的領導廠商,3M仍在努力讓員工全面接受並使用螢幕防窺片。在大公司內部要全面使用螢幕防窺片是有挑戰的。能將強制使用螢幕防窺片的規範列入資訊安全政策是關鍵,但是要真的改變他們的使用行為並全然接受,仍要繼續努力。讓螢幕防窺片在使用上更簡單是非常重要的。當同事們一起合作需要共享螢幕時,將螢幕防窺片取下和放回都不能是件苦差事,但有時容易使用還是不夠的。
但提供足夠誘因是有幫助的。3M全球電腦硬體主管Ed Nelson,想到鼓勵員工的方式。「在剛開始的時候,可以舉辦“直擊現場就得獎”的活動,只要被發現在使用螢幕防窺片,即可得到公司自助餐的折價卷。」Ed相信,只要給予適當的機會,所有員工都會希望幫自己的公司得到好名聲,並維持財務穩定。」
當今工作環境的改變幾乎和資訊科技的變化一樣快。隔間屏風已逐漸變小,員工也從密閉式的空間轉移至開放式的辦公環境。辦公空間設計師正在設計有寬大玻璃的會議室,讓與會者不會有受侷限或困住的的感覺。但大尺寸螢幕從大廳或外面街道都可看得一清二楚。如果這些螢幕都沒受到保護,後果真是不堪設想。給公司高階主管的早期收益報表,只因為一位好奇的訪客,卻成為華爾街討論的話題,當到公司發現時,已為時已晚。
資訊部經理和資安官員可以共同合作找出解決方案。只要在大樓裡走一圈,紀錄下在螢幕上所見,特別是高流量區域。需要收集或顯示客戶資料的公司組織,像是醫院、機場候機室甚至咖啡廳,要採取特別的預防措施,來加強保護個人與財務資料。
工作機動性的員工也需要螢幕防窺片。很多人經歷坐在飛機中間的座位,將筆記型電腦打開的同時,隔壁的乘客直盯著他們的螢幕看。無辜的瞥見暴露的螢幕是人性,但不是每個人都全然無意圖。
Illustration of multi-level open office space with 14 silhouetted workers seated in waiting areas, at long tables, in offices and cubicles with short walls. Some are standing. Image labels are: open office floor plans, open cubicles, offices near windows, shared workspaces and high traffic areas.
3M全球電腦硬體主管
Ed Nelson在3M負責資訊安全、專案管理和硬體採買等工作。他現在的角色需要為全球員工測試並評估電腦、螢幕和週邊配備。在這之前他是LANDESK端點保護的管理者,負責管理全球修補程式。他在補修程式發行兩週內,已完成95%的工作站修補。Ed把3M員工視為客戶,竭盡所能提供高性能的計算工具,協助他們在維持生產力的同時,保守公司資料的安全。
3M資訊安全、風險管理與法規遵循
John Brenberg 過去超過三十年的經驗,遍及市場調查、系統開發、基礎設施管理,與跨業務單位的資訊安全和法規遵循。他在3M資訊安全、風險管理與法規遵循所扮演的角色,主要負責領導資訊安全、風險管理與法規遵循的專案,而一切都是為了保護公司和客戶的資訊,以及機密的商業流程。Brenberg把他的成功歸功於許多內部橫跨智慧財產、隱私、法規遵循和系統管理夥伴的通力合作。
1 2018 年IBM X-Force 威脅情報指數
2 美國聯邦調查局(FBI)網路犯罪投訴中心,2017網路犯罪報告
3 螢幕資料偷窺是竊取敏感、私密或機密資訊以供未經授權使用的做法。
4 平均根據隱私暨資訊管理研究機構Ponemon Institute在2015全球螢幕資料偷窺實驗、2016螢幕資料偷窺實驗所做的試用調查,都是由3M所贊助。
5 刊登於2017-2018資料外洩調查報告的53,000起事件和2,216筆確認資料外洩
6 2017年隱私暨資訊管理研究機構Ponemon Institute的公共空間調查研究