【专家剖析】防疫期间，在家工作应注意的资讯与网络风险

本文作者∕杨博裕，跨国银行北亚地区资讯安全官

当武汉肺炎（COVID-19）从区域性逐渐转为全球性危机，境外移入与社区感染成为组织营运持续管理真实与迫切的危机时，身为资讯长、资安长、营运持续管理负责人， 如何带领组织超前部署，然后制定疫情风险等级，依照疫情风险等级轻重，启动办公区域入口体温与消毒管制、上下班时间分流、作业分流（Split Operation） 、异地作业（BCP Site）与在家工作（Work from Home）等方式，降低病毒对人员可能的感染与对组织持续营运的影响成为当务之急。

由于包含台湾等亚洲国家，由于国情与文化的不同，对于“在家工作”模式较为陌生，本文指在介绍“在家工作”可能的资讯与网络风险，并针对这些风险提供相对应的管理措施。

“在家工作”的迷思

面对疫情急遽升高的心理压力，当许多公司在做出“在家工作”的决定时，并不是出于“选择”，而是出于“被迫”。

多数组织针对营运所设计的流程，经常是针对组织办公位置，设定员工在组织所安排的地点办公。多数的营运持续计划设计，也多选择以组织规划的办公地点（含异地作业地点）为优先考量。

而当面对社区或群聚感染压力时，组织不得不减少人与人之间社交距离，以抑止疫情在公司内部扩散、降低组织内部员工被传染的风险，而优先考量将非关键作业员工（non-critical employees） 、业务无须面对客户员工（non-customer facing employees） 、以及已怀孕或怀孕及喂哺母乳员工在家工作。

然而在亚洲文化下，多数组织对于开放“在家工作”持保守态度，这是因为高阶主管或者人力资源单位所关注的风险，往往放在员工在家工作时的“工作绩效”与“出勤状况”风险，因为高阶主管或者人力资源单位担心在缺乏适当管理机制下，员工在家工作容易怠惰，而忽略在家工作时的“资讯与网络安全”风险也是一样重要。

适合在家工作族群

“在家工作”应该纳入于组织营运持续计划（Business Continuity Plan，BCP）之中，做为紧急应变的选项之一，首席运营官、资安官、或营运持续管理负责人在研拟组织营运持续计划时，应召集并要求各单位业务代表，根据其业务属性与工作内容，决定那些员工适用于在家工作的选项。

考量适用员工适用范围时，应考量下列（但不限于）几点。首先，考量“非关键作业”且“业务无须面对客户”的员工，非关键作业因产业或业务性质而不同，因此需要由首席运营官、营运持续管理负责人、与业务单位主管讨论与定义。

以人力资源单位为例，人力资源单位内通常有招募任用、教育训练发展、薪酬管理、绩效管理及员工关系管理，主管可依照业务属性进行安排，像是疫情蔓延时，需要扩大社交距离减少人与人接触，会减少面对面的教育训练，因此可考量让负责教育训练发展的同仁在家工作。其次，“已怀孕或怀孕及喂哺母乳”员工，为预防母体接触病毒，而将病毒传染给胎儿或婴儿，基于组织员工关怀立场，怀孕或怀孕及喂哺母乳员工在不影响业务正常营运下，应优先列于“在家工作”清单。

在家工作风险为何？

在家工作应该考量的的风险有下列八类，首先，“员工窃取组织资讯”，若缺乏适当管控机制，员工可利用“在家工作”的机会窃取组织资讯，例如将敏感的公司资料下载或保存到其个人电脑、携带式储存装置、云端硬盘等，或将资料发送到个人电子邮件账户。

再者，“未妥善保管组织资讯”，员工未妥善保管从办公室携出的打印文件、档案储存装置（如USB随身碟、外接式硬盘）、或资讯设备（如笔记型电脑、手机）；又或于电话讨论公事，未留意周遭环境，无意间泄漏与业务不相关人士，以至于资料遗失或外泄。

第三点，“不安全网络连线”，若员工透过不安全的网络连线存取组织系统∕资料，资料传输过程中资料可能被截取，且资料遭到篡改的风险也会提升。

第四点，“不安全交换讯息管道”，员工透过非公司提供或核准批准的通讯工具（简讯、LINE、WhatsApp等）沟通业务机敏资料或非公开资讯，资料传输过程中资料可能被截取，而致资料外泄。

第五点，“钓鱼邮件∕钓鱼电话攻击”，疫情蔓延期间，网络钓鱼邮件∕钓鱼电话风险将会升高，因为网络犯罪者伪装成同事、合作伙伴、朋友、家人等用户信任的来源，例如：资讯单位、人力资源单位、高阶主管、新闻媒体、卫生组织等进行攻击。

钓鱼邮件的寄件主旨则用：冠状病毒疫情、冠状病毒防范方式、拯救疫情慈善活动、资讯技术支援等，利用人性的弱点（如信任感，恐惧感，服从权威等），诱使收信者开启邮件，并点选邮件中含恶意程式的附件档案或网络连结，藉以窃取使用者账号、密码、甚至于组织或个人拥有的敏感资讯。而钓鱼电话则是会设法透过社交工程，取得组织内员工联络方式、伪装的工作指示、或要求员工提供组织内部资料等。

第六点，“资讯基础建设不足”，既有资讯基础架构，没有办法支撑疫情期间，“在家工作”者大幅增加而伴随的远端存取的流量超过负荷，影响系统效率。而为尽速解决基础架构的问题，所提出的解决方案，若没有进行适当的风险与弱点评估，将可能会产生漏洞，引发网络威胁。

第七点，“未妥善评估例外情形”，部分员工因业务性质特殊（如理专、交易室、研发人员等），可接触客户个人资料或组织敏感资料，不应开放在家工作。惟疫情影响，开放此类员工在家工作前，未经妥善评估必要性与相关管控措施有效性，将增加资料外泄风险。

第八点，“员工生产力下降”，员工在家工作因马虎行事、玩忽职守，或擅离工作岗位而影响到工作生产力与工作品质。

如何管理“在家工作”风险？

组织要降低的“在家工作”风险，必须事先规划相对应的减灾方式或管理手段，目前大致可分成下列十点来看。

首先，“以周期为单位”，若组织无法掌握员工动态，将影响营运持续计划有效性，因此在家工作安排至少持续1到2周，而不是当日安排。

另为协助单位主管与营运持续管理单位有效掌握员工动向，建议所有员工应每周定期向单位主管或单位负责人通知次周工作模式（如办公室工作─若分散办公者，请说明地点，在家工作，特休假，病假等），再由各单位汇整与营运持续管理单位。另，员工禁止在公共场合（例如咖啡店或大众运输工具）工作，以防止资料遭他人窥视或窃取。

再者，“设定工作目标与完成期限”，亚洲文化对在家工作最大的阻力在于担心员工马虎行事、要玩忽职守、或擅离职守而影响工作生产力与工作品质，要解决这方面的营运风险，于启动在家工作之始，主管应该与员工充分沟通待办事项清单及完成期限，确认员工了解主管期待与要求。而主管应定期（至少一周一次）与团队成员进行电话会议，以了解同事的身体状况与工作进度。

第三点，“使用安全的网络连线”，员工在家应透过信任且安全的网络连线（如家用网络或透过个人手机热点分享）来存取组织内部网络系统或资讯，员工禁止使用未受信任的网络（如公开或免费）网络连线存取组织内部网络系统或资讯。另，若组织有建置VPN，应限制员工必去透过VPN认证后，使得与组织内部网络连线。

第四点，“档案∕资料传输保护”，员工传送敏感资料档案（例如、人事记录、医疗记录、财务记录等）时，应于传输档案前，依照组织资讯与网络安全管理规范要求，对档案进行适当加密保护。

第五点，“资料外泄防护机制”，确保资料外泄防护机制（Data Leakage Protection）已安装于在家作业员工资讯设备，防止组织资料或档案于员工在家工作期间，遭员工下载或储存于员工个人储存设备或云端硬盘。

第六点，“安全性修补与防毒软件病毒码更新”，确认所有应用程序和操作系统已安装至最新版本安全性修补程式等级，防止骇客利用未修补的弱点进行攻击；另，资讯系统防毒和防恶意软件已更新至最新版本病毒码，已防范病毒或恶意软件攻击。

第七点，“安全讯息交换管道”，要求在家工作员工仅能使用公司提供或核准的通讯工具（电话，企业版通讯软件，企业电子邮件等）进行沟通；另，公司应提醒员工，勿在通讯软件上，谈论或交换组织敏感资讯，以避免资料外泄。

第八点，“保持警觉”，防疫期间，电话钓鱼与电子邮件钓鱼邮件攻击会增多，要求员工保持警觉，勿点选来路不明邮件所附连结或档案。对于疑似钓鱼邮件或钓鱼电话，员工应立即通报相关业务单位进行阻挡与调查。另，在家工作，仍应谨守组织桌面净空原则，妥善保存组织提供的资讯设备与资料，也避免与家人或朋友讨论工作内容，以避免资料外泄。

第九点，“重申资讯与网络安全管理相关要求”，启动在家工作时，组织需要重申在家工作资讯与网络安全管理相关要求（范例一），并定期（每1～2周）透过官网、电子报、或电子邮件，向员工沟通防疫期间员工应注意的相关资讯（范例二）。

第十点，“在家工作环境符合职场安全与工作需求”，在家工作地点，应符合职场安全要求，例如办公位置需要有充足照明，且桌椅与屏幕高度应该以舒适安全，避免不舒服或不安全的工作环境影响员工效率与健康。若因业务需求，需要进行电话会议时，应确保足够的隔音以避免噪音影响电话会议进行。

疫情带来的营运模式改变

科技的进步，像是互联网，电子邮件，网上会议及视讯会议（如Webex、Zoom）、团队协作平台（如Microsoft Teams）等，让工作再也不需要面对面才能完成，身处各地的团队成员，仍然可以透过不同的科技产品一同合作，完成目标。

当武汉肺炎从区域逐渐向全球蔓延，可以看到跨国企业（如Google、Amazon）陆续启动在家工作机制，以将病毒传播的风险降到最低，同时也避免造成营运中断的风险；更甚者，在亚洲部分国家的跨国企业，也已执行在家工作逾一个半月。在家工作已经从营运持续计划上的名词，变成组织营运的一部分。

从这样经验来观察，若组织可以有效的规划在家工作的模式，以及妥善评估在家工作的风险并管理这些风险，事实上，在家工作与员工生产力及工作品质并不会相互冲突。另，过去的历史也告诉我们，每当历史上有重大的事件（如美国911事件或SARS），将会对组织营运模式带来重大的改变与影响，或许，此次全球疫情不只会对全球供应链造成影响，当在家工作可以同时兼顾工作需求、个人居家照顾需求、与营运持续管理需求下，或许未来在家工作会越来越普遍。

范例一：在家工作资讯与网络安全管理相关要求

• 对于本公司未对外公开的资讯（non-public Information），切勿与客户，同仁，朋友或于社群媒体上分享与讨论
• 无论在家（远距）工作或分散办公者，切勿将个人存取组织资讯系统之账号与密码与他人（含家人）分享
• 离开办公环境时，切守桌面∕屏幕净空要求
• 公司相关资讯（含纸本资料与资讯设备），应妥善保管，切勿将组织相关资讯置于无人看管状态
• 远端存取公司资讯系统时，不得使用任何私人摄影器材对屏幕拍照，并撷取本公司资讯系统内相关资料
• 若需要在公共场所存取本行资讯，请留意周围环境以防偷窥，若有需要，请安装防窥片
• 防疫期间，假新闻或假消息会增多，请不轻信，不散播未经证实的消息，对于来路不行的消息（尤其是影响组织声誉者），请通报相关单位
• 防疫期间，电话钓鱼与电子邮件钓鱼邮件会增多，请勿点选来路不明连结，对于疑似钓鱼事件，请通报相关单位

 

范例二：内部防疫相关沟通电子报（每1-2周更新一次），视报告周期选择内容。

• 疑似案例检查情形报告
• 重申员工健康与安全为公司所关心与重视
• 自我隔离相关要求说明
• 旅行区域限制（差旅限制区域），以及例外情形处理原则
• 面对客户办公室开放状况
• 在家（远距）工作通知─说明那些人在经主管同意后得在家工作（non-critical、non-customer facing和怀孕员工优先）
• 办公室健康，清洁与消毒说明
• 口罩发送登记与防疫期间员工餐厅供餐模式说明
• 弹性工作时间说明，避免员工搭乘大众运输工具与公司上下班时间等待电梯风险
• 远距存取公司系统要求
• 防疫期间资讯安全管理要求声明
• 实用网站链接（如疾管署CDC）
• 紧急联络资讯（包含安全部门，医卫部门，资讯安全管理部门等）
• 为所应为（Dos）与为所不为（DONTs）项目
• FAQ 问与答

在家工作的八大风险

1  员工窃取组织资讯  2  未妥善保管组织资讯  3  不安全网络连线  4  不安全交换讯息管道  5  钓鱼邮件∕钓鱼电话攻击  6  资讯基础建设不足  7  未妥善评估例外情形  8  员工生产力下降 资料来源：杨博裕，2020年3月

 

【作者简介】

杨博裕

资讯安全与资讯风险管理领域服务逾15年，现任职于跨国银行担任北亚地区资讯安全官，主要负责北亚地区资讯风险管理相关业务；同时担任国际电脑稽核协会（ISACA）资讯风险治理咨询小组委员及证照命题小组委员，参与新版资讯风险治理架构及相关政策资讯的制定，并参与证照命题及讨论。

职涯经验中，曾协助多家跨国金融机构与高科技制造业创立资讯风险管理单位，熟悉资讯安全与资讯风险管理单位运作方式与价值。目前持有 CISA、CISM、CRISC,及 CFE等证照。