風險類別--道德風險—網路層
7.3 惡意的內部員工
《新聞分享》:39%員工會從個人裝置存取企業資料 企業應重新檢討政策
(新聞來源:聯合新聞網2020-09-17:https://udn.com/news/story/7240/4867528 )
《筆者分析及建議》:
如果是有關員工惡意的竊取資料,如上一篇所言,除了加強法治教育之外,還得透過懲處機制明訂各項罰則,但也要有獎勵辦法,新聞所言,持續的資安、法治教育之外,也得對遵守規定的員工,提供獎勵
,畢竟糖與鞭子要同時進行,否則資安與法治教育容易流於形式。
7.4 雲端服務提供商惡意隱瞞
《新聞分享》:【2020十大資安趨勢1:資料外洩】管理不周導致資料外流事件頻傳,企業、雲端業者、政府均應強化管理
(新聞來源:iThome 2020-01-09:https://www.ithome.com.tw/news/135173 )
《筆者分析及建議》:
雲端這個風險有很多因素,如新聞當中員工操作不當、伺服器管理不當、加密的問題、駭客入侵的問題等等,都是風險因子,企業在使用雲端資料庫時,要隨時注意新聞訊息
,目前資安的訊息已經在強化了,尤其是大部分人都會使用的雲端、網路硬碟等等,如果一出問題,通常很快就會經過網路新聞傳開,不管如何,資料備份、加密、分流的基本步驟有做到後,就要針對雲端廠商的安全性做出風險分級,並且要隨時考慮資料外洩的問題,目前看來並未有100%安全的雲端,即使非惡意隱瞞,都是有其風險性的,所以在使用雲端前,一定要有危機意識。
7.5 管理介面妥協
《新聞分享》:用戶抗拒!妥協的微軟仍想推動自己的「Apple ID」生態
(新聞來源:自由時報 2019-07-25:https://3c.ltn.com.tw/news/37489/ )
《筆者分析及建議》:
有關於管理介面的妥協這個問題,主要是使用者與系統商之間的拉鋸戰,大家也都了解,系統商常會以資安漏洞的問題,要求使用者更新系統,然而,筆者有時也懷疑,如果是系統更新,為什麼連介面都要更新?當然系統商有其想法,為了安全性大家也只好犧牲一下使用者介面,但如果是像微軟,另外有商業上的考量,那就另當別論了,在此比較麻煩的地方是在於IoT的軟硬體也要跟著更新,然而,如果設備商沒有提供更新,或者已經無法更新,那麼對於企業而言,又有另外成本支出,例如印表機不支援到新系統,如此說來,管理介面妥協是否也應該考慮到企業軟硬體成本問題呢? 這也是風險考量的重點。