为什么写
今年初,苏州一家制造业企业的财务主管老张因为个人手机故障送去维修,结果手机维修店的员工在维修过程中发现了手机里存储的大量企业数据。这些数据包括公司的银行账户信息、供应商付款记录、客户合同文件以及公司近三年的财务报表。维修店员工将这些信息拍照后在业内小圈子传播,最终传到了竞争对手的耳朵里。
老张之所以在手机里存了这么多公司数据,原因很简单——公司配发的办公电脑配置太差,他日常很多工作都用个人手机来处理。用微信跟客户沟通、用手机查看邮件附件、用手机拍下合同页面的截图方便回家继续处理。时间久了,手机里积累的企业数据越来越多,直到手机损坏送修,所有数据都暴露在了陌生人面前。
带来哪些隐患
BYOD模式在提高工作效率的同时,也给企业数据安全带来了前所未有的挑战。这个问题的核心在于,个人设备的控制权完全掌握在员工手中,企业无法对这些设备施加强制的安全策略。
个人设备的安全防护水平参差不齐。有人手机从来不设密码,有人手机系统从来不更新,有人手机里装了各种来源不明的应用。当这些设备承载企业数据时,企业的数据安全就取决于这些个人设备最薄弱的环节。一个从不更新系统的手机,一个安装了恶意应用的平板,都能成为企业数据泄露的通道。
设备维修和换新过程中数据容易泄露。上述案例只是无数类似事件中的一个。手机维修、电脑换新、二手设备出售,这些场景都是数据泄露的高发期。很多人在更换手机时只是简单删除了文件,但所谓的"删除"只是把文件标记为可覆盖,实际数据仍然存在于存储介质中。专业的数据恢复工具可以轻松找回这些"已删除"的数据。
个人设备丢失和被窃是另一个巨大风险。地铁、出租车上遗落手机的事件每天都在发生。一部装着企业数据和邮箱登录状态的手机丢失意味着什么?意味着捡到手机的人不仅可以查看手机本地的文件,还可能通过留存的企业邮箱登录状态访问更多的企业系统。
家庭成员的间接接触也是一个容易被忽视的风险。如果员工的个人设备上存有企业数据,他的家人也可能在无意中接触到这些数据。孩子拿父母的手机玩游戏时翻到了企业内部文件、配偶借用手机时看到了工作往来邮件,这些场景虽然不是恶意泄密,但同样给企业数据安全带来不确定因素。
给我们什么提醒
在零信任架构的理念指导下,企业重新考虑个人设备上的数据管理已经刻不容缓。
企业应当提供便捷安全的移动办公工具。员工用个人设备办公很多时候是因为公司配发的工具不好用。如果公司能提供安全可靠的移动办公平台,员工就不需要通过个人微信来传输工作文件,也不需要把公司文件存在个人手机上。企业移动办公平台应当具备数据不落地的特性,所有文件只在服务器端处理,手机上不留任何数据副本。
设备合规检查要落实。对于允许接入企业系统的个人设备,应当安装统一的管理软件进行合规检查。检查内容包括系统版本是否更新、是否设置了设备锁屏密码、是否安装了防病毒软件等。不达标的设备限制其访问企业内部资源。
数据远程擦除能力必不可少。既然允许个人设备承载企业数据,企业就应当有能力在设备丢失后远程擦除设备上的企业数据。这一功能应当通过企业移动管理平台实现,并且要在员工入职时签署协议明确告知。
员工教育不能停。要让员工明白为什么不能用个人设备存储企业数据,为什么不能把工作文件截图存在手机里,为什么设备维修前要先清除数据。案例教育是最有效的方式,让员工看到真实发生的泄密事件,远比讲一百遍道理更有说服力。
企业启示
移动办公时代,个人设备和企业数据的边界需要重新划定。北京企密安信息安全技术有限公司认为,企业不能简单地禁止员工使用个人设备办公,因为这种做法既不现实也影响效率。正确的做法是在便捷和安全之间找到平衡,通过技术手段让员工在个人设备上也能安全地处理工作,同时确保企业数据始终处于企业的控制之下,不会因为员工个人设备的任何变动而导致泄露。
