隨著COVID-19危機趨穩,安全團隊將面臨更多視遠端為「常態」的員工、保護健康資料的需求,以及更危險的安全威脅形勢。
文/Cynthia Brumfield‧譯/酷魯
資訊安全長(CISO)必須在後疫情世界中應對處理新的安全挑戰。據先前舉辦之 RSA Conference 資安大會上的專家演講指出,就在許多安全從業人員備感疲憊和壓力的同時,重新配置的工作場合和員工健康考量,以及日漸增加的安全威脅莫不強加到了公司組織的肩頭上。
[ 下載 2020-21 CIO大調查報告,掌握企業資安最新趨勢 ]
「當COVID-19第一次來襲時,我們立即投入安全防護行列中,就好像我們早有『我們一直都不安全』的覺悟一般。我們進入了戰鬥模式,我們擅長這一切,並練習這一切,」前任俄亥俄州立大學資安長與現任 Cisco Secure 資安解決方案顧問資安長(Advisory CISO) Helen Patton 表示。「我們持續堅持這樣的節奏許久。你會備感壓力;你會覺得疲憊不堪。」
更加關注工作與生活的平衡
「18個月以來,我們一直百分之百地全面控管我們的員工,而且還沒有結束的跡象,」Patton進一步表示。「我認為我們必須做好未雨綢繆的規劃,這意味著要為團隊做好規劃,這樣我們才不會耗盡他們的精力與工作熱情。」
工作量的增加確實有一些好處,Patton表示。「我確實這麼認為,我們從中看到了一些好處,這正是對工作與生活平衡的一種讚賞。」
[ ????推薦閱讀: COVID-19永久改變IT的七種面向 ]
在疫情期間,許多組織透過提供津貼和激勵來提高士氣,以減緩因工作量增加而對安全團隊形成的壓力。「我們實際上允許人們基於心理健康因素重回辦公室工作,」美國控股公司Markel資安長暨產品長(CPO) Patti Titus 表示。「我們投資了一款名為Cratejoy的產品,居家邊帶孩子邊工作的員工可以從中獲得一個裝滿孩子們可做事情的盒子。當我們成為透過網路互相聯繫的公司時,我們跳脫框架地認真思考,要如何與員工保持聯繫,我們真正深信『一起更強』的座右銘。」
美國人壽保險公司 Northwestern Mutual 資安長 Laura Deaner 認同當前安全人員的確被推到了危險邊緣,但卻發現在此危機期間所培養的社區意識令人欣慰。「很高興看到大家共襄盛舉,」她表示。
更具彈性的工作地點
儘管許多員工正在重返實體辦公室,但這些空間已不同以往了。「我們很快展開了居家就地避疫等諸如此類的措施,」微軟全球副總裁兼資安長 Bret Arsenault 表示。「在72小時內,你公司遠端工作的員工比例就從10%提升到97%。在科技業我們非常幸運,能夠在新冠疫情大流行的大部分時間裡繼續正常工作。」
然而,如今對健康方面的考量卻重塑了員工記憶中的工作環境。「當我們讓人們重回工作場所時,你必須保持社交距離、環境衛生以及你沒有規劃的其他所有事情,」Arsenault表示。
[ ????推薦閱讀: IT如何支援新興的混合辦公環境 ]
「要做到這一點,還有很多工作要做,乃至變換辦公室並藉助科技才能辦到,並確保當他們進公司時不會有4個人同處一間辦公室的狀況。我們要確保該空間裡每個人都要夠安全且夠隱私才行。這是一個非常不同以往的工作場所。」
如今員工已經適應了居家辦公的環境,而且並非每個人都要回公司上班,這使得企業組織想要開會或進行其他聚會變得更具挑戰性。「我們將看到更加多樣化的工作時段,」Arsenault表示。「人們不只會在所居當地城鎮中居家辦公,他們也可能在離家兩小時遠的地方辦公,或移到離家人更近的地方辦公。這完全打破了以什麼是本地、什麼又不是本地為前提的想法。」
收集和保護健康資料的新需求
除了配置辦公環境以滿足最佳健康實踐的需求之外,組織現在將收集大量的員工健康資訊。這樣的資料收集作業勢必需要新層級安全防護與隱私實踐,這些也是資安長不得不融入自身工作中的必要項目。「它確實顛覆了雇主對員工身上所獲資訊的期望,」普衡國際律師事務所(Paul Hastings LLP)合夥人 Aaron Charfoos 表示。「試圖收集更多傳統上被認為偏向私人的資訊,將是我們長期需要做的事情。」
Charfoos指出,主要挑戰將集中在像是確定真正所需資訊的範圍,如何收集和儲存資訊的最佳做法,以及如何遵循州政府與地方政府對於陽性檢測結果與接觸者追蹤報告之規定等做法。「這些全都是我們以前完全不需要處理的事情,」他表示。
[ 加入 CIO Taiwan 官方 LINE 與 FB ,與全球CIO同步獲取精華見解 ]
根據Charfoos的說法,有76%的組織要求員工在確診COVID-19時通知雇主,53%的組織已詢問員工曾私下去過哪些地方旅行。此外,有35%的雇主詢問過家庭成員COVID-19染疫與否的狀況,有23%的雇主已在員工進門時量測體溫。
雇主面臨的真正問題是,他們需要在多大程度上收集或保存所有這些資訊。「你需要收集員工資訊嗎?你需要保存這些資訊嗎?如果你打算保存,你會保存多久?因為一旦我們只是想要收集並永遠保存這些資訊的話,那麼這些資訊本身就可能引發很多問題,」Charfoos指出。「除了遵守專門處理健康照護資料的聯邦法〔例如HIPAA健康保險可攜性與責任法案〕之外,重要的是要確保你非常關注自己如何承諾保護資訊的方式。」
威脅攻擊的發動者加大資料外洩力度
翰宇國際律師事務所(Squire Patton Boggs LLP )資深非訟律師 Ericka Johnson 表示,在後疫情世界裡,居家辦公的持續流行使得因應勒索軟體攻擊和其他資料竊取攻擊的努力變得更加困難。「COVID-19確實增加了我們可見的網路事件發生率。我們看到威脅攻擊的發動者正在發動雙重式攻擊:在外洩資料後,展開勒索軟體攻擊的部署,並加密你整個資料。」
如今企業組織也更易受到網路釣魚和社交工程等手法的攻擊。Johnson表示,她處理過一個「極其老練」威脅攻擊的發動者假扮成執行長,並解說複雜房地產交易的案件。「這個威脅攻擊的發動者具備以業界行話溝通的能力。」
在一般情況下,受害者可以直接走進執行長的辦公室裡並確認他們要轉帳的數字,比如500萬美元。「但由於我們現處於遠端環境中,這使得威脅攻擊的駭客可以更容易對我們發動各種社交工程攻擊。」
( 本文授權非營利轉載,請註明出處:CIO Taiwan )