iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

0

在時下全球科技環境中,駭客入侵風險始終居高不下,這一點不僅眾人皆知,也早就習以為常。由於這類入侵行為越來複雜,但只要排除人為疏失、進行資料加密,或者實施有效的安全意識訓練,就能遏止其中諸多攻勢。在許多情況下,消除有風險的漏洞十分合理,而檔案傳輸流程就是可能存在漏洞的一個環節。
如果企業採用信用卡作業,就必須遵守 PCI-DSS,如果是處理病歷之類的臨床資料,則必須遵守 HIPAA,並可能也要遵守 PCI-DSS,視管轄法/州法而定。另外,也有許多其他規定要求遵守身分防盜,或資料隱私權法規。
無論是個人身分識別資訊 (Personally Identifiable Information, PII)、受保護健康資訊 (Protected Health Information, PHI) 或員工資料,這些全都屬於敏感資料,一旦落入有心人士之手,就可能用在受害對象身上,成為盜用身分或金融詐騙的工具。

因應業務需求 衍生資料共用風險
在銀行、金融服務和保險 (BFSI) 產業中,必須基於業務所需共用各式各樣的資料,如銀行進行信用調查時就必須共用資料。正因如此,Equifax 在 2017 年成為駭客的攻擊目標,自然也就不足為奇。
銀行之間會共用財務報表、客戶對帳單、帳戶更新資訊等各類資料,或者會將此類資料儲存在中央伺服器中。隨著金融科技、智慧支付以及其他金融服務的興起,資料共用情形越來越普遍,資料分析、大數據以及因此衍生的鎖定行銷,全都必須透過共用方式進行。
醫療保健業是另個主要目標,因為儲存及共用臨床與財務資料,在這個產業中早已成為慣例,共用資料者可能包括保險公司,也可能包括必須提供諮詢意見或者提升醫療照護水準的專業醫療人員。若醫療業者並未參與患者照護過程,不需經過患者同意即可共用臨床資訊 (但須去除 PII),最終也導致 2018 年發生了多起醫療保健業遭駭風波。
以上所述是和駭客一樣以金融業和醫療保健業為主,但凡需儲存敏感資料者都會面臨一樣的問題。然有誰不需要儲存敏感資料,若企業會與他人共用敏感資料,那應該要好好思考的檔案傳輸流程。法規並未要求組織採用制式資料安全防護措施,但希望組織善盡調查責任,同時也會懲處不遵守規定的組織。各行各業都出現了資料外洩問題,眾所皆知的駭客入侵事件也不在少數,因此組織不能拿不知道當擋箭牌。

降低資安風險 首選安全傳輸機制
公司行號必須尋找保護敏感資料的方式,但必須兼顧效率以及注意能否強化業務運作與流程,且要遵守管理標準和規章。有效的檔案傳輸解決方案能顧全大局,即便是老舊的舊版基礎架構也沒問題,更不分平台類型或企業規模。
企業應該要自動處理這些流程,排除需要反覆執行的作業及所謂的「忙碌作業」,讓資訊人員有時間專心處理需要人工處理的事情。當企業引進自動處理檔案傳輸作業 ,而不是雜亂無章地透過電子郵件、雲端共用技術或 VoIP 聊天視窗附件傳送,至少可享有8個優點。

  1. 集中控制
    可由專職員工負責建構、排程及管理檔案傳輸作業,降低反覆輸入資料可能導致的人為疏失。此外,也可以建立批次作業,按照一定的時間間隔定期傳輸。
  2. 單一種解決方案適用所有傳輸作業
    使用者只需要專心處理一個問題,不需要同時兼顧多種檔案傳輸選項。此舉,可減少混亂情形,也能避免檔案傳輸過程中發生重複傳輸或漏傳情形。
  3. 提升資料安全
    在檔案傳輸全程各階段當中,資料一律經過加密,能夠確認獲得權限的接收方,是最終收到檔案的對象,且每次傳輸作業還有完整的記錄。
  4. 即時掌握傳輸狀態
    檔案傳輸狀態一覽無遺,一旦收到傳送失敗等問題的警示,即可立即採行對策。
  5. 提升效率
    自動傳輸能節省時間,讓管理員得以花更多時間建立其他觸發條件和警示,與既有的檔案傳輸流程相輔相成。並非每一項傳輸作業均採自動傳輸模式,需要傳輸大型檔案或只需要安排一次定期傳輸時,您仍然可以微調手動傳輸作業。
  6. 多使用者自動化選項
    管理員很容易就能依使用者建立觸發條件,進行資料庫更新,或是在每日尾聲將資料備份到中央伺服器時,這項功能特別實用。
  7. 更容易遵守法規
    由於記錄檔會追蹤並記錄每一項資訊 ,企業可以輕鬆遵守各式各樣的法規。
  8. 稽核記錄
    管理式檔案傳輸有項主要特色,就是每一次的檔案傳輸作業均可接受完整稽核。因為稽核資料會記錄傳送者、傳送時間以及接收方。一旦資料外洩,這類證據就能發揮事半功倍之效,這是傳統檔案傳輸方式做不到的地方。一套完善的稽核記錄,也能避免企業遭駭客入侵時,因資料外洩而蒙受罰金與聲譽受損等損失。
    除非想挑戰管理 FTP 伺服器蔓生及指令碼造成的夢魘,否則就不能忽視管理式檔案傳輸解決方案,是檔案傳輸自動化的唯一法則。法遵規定越來越嚴苛,各企業必須思考資料外洩時,會給客戶留下不好的印象。信任是企業無法忽視的商品,一旦失去信任,重新爭取信任感的機會往往微乎其微。
    消費者期望所有公司行號都能妥善保護 PII,萬一 PII 出現風險,事後發現公司竟然沒有做好基本的安全防護預防措施,消費者自然會另選其他公司,甚至會引爆後續法律訴訟。因此,開始透過安全又遵守法規的方式傳輸資料。

https://ithelp.ithome.com.tw/upload/images/20191003/20119749hzTKNxVoyf.png

Progress Ipswtich 提供完整自動檔案傳輸解決方案,可滿足業務發展,SLA 安全性或合規性要求,同時降低資料被駭客竊取的機率。

https://ithelp.ithome.com.tw/upload/images/20191003/20119749qcNcFJoJOD.png

Progress Ipswtich MOVEit自動檔案傳輸解決方案, PCI DSS 3.1、HIPAA等認證,也以助企業符合HITECH、HIPAA Omnibus 和 GDPR 規定的準備,可因應多個部政府及法規要求。


上一篇
滿足安全、合規性 首選安全檔案傳輸
下一篇
活用網路監控工具 及早掌握系統安全
系列文
Progress | Ipswitch 高安全網路環境與資料分享空間 面面觀30

尚未有邦友留言

立即登入留言