日前某天我們談到了【USB的管制】、【私人電腦的管制】、【郵件傳遞】和【檔案分享】等的概念，他們彼此間有一個交集點，叫做【商業機敏資料】的傳遞，我們知道重要資料常常因業務所需到處傳遞，資料向水一樣，哪裡可以去就往哪裡流動。

USB不給存、私人電腦不給存、NAS不給存、手機不給存，山不轉路轉，路不轉我轉。
當我們在做整體收斂時，可愛的USER就會想起幾乎人人手邊都有的法寶:雲端硬碟(泛指:個人的Google Drive/One Drive/Dropbox/iCloud/自家遠端NAS...etc)，機密上傳不設防、方便又好用，反正該雲端硬碟平台會幫我保護好，因而最終成為營業祕密外洩的一大管道。

(圖片引用自T客邦)

試問，這樣做的話是不是會有以下問題:

• 1.貿然將公司資料存放至雲端之中，USER真的清楚知道服務供應商是如何保護這些資料的？採取了哪些安全控制？公司有哪些資料是被允許可以存放上雲端的？
• 2.在公司之中，會依照職務角色設立不同的資料存取權限，以確保資料的安全，雲端上任意分享公司的檔案，是獲得授權的嗎?
• 3.人員離職時，這些存於私人帳戶中的的機敏資料，是要怎麼強制抹除或移交?

如果上述問題都無法有效控制，簡易對策是

• 1.從公司網路上和電腦上封鎖對雲端硬碟的存取，取而代之的是配置公司正式提供的公有雲端硬碟平台。(ex:M365 OneDrive、G suite 雲端硬碟、內部File Sharing主機)
• 2.公司內機密資料經過特殊加密(Ex: AD RMS)，使其即便外流也無權存取。
• 3.NDR切結書增列雲端硬碟，從法務面約束。

雲端方便的服務太多了，唯有適度的控制，才有機會收束到風險可控的地步。

延伸閱讀與參考資料:
7 Cloud Storage Security Risks You Need to Know About
【資安小提醒】簡單避免雲端使用的安全問題
雲端資安,讓 IT 人員輾轉難眠的四個原因
長達15年的資安漏洞，Google坦承部分G suite用戶密碼從未加密