为什么写
新冠疫情之后,远程办公已经成为许多企业的常态。但随之而来的是一系列令人警惕的数据泄密事件。去年上半年,深圳一家互联网公司的研发工程师小李在家远程办公时,用个人笔记本电脑连接公司的内部系统进行代码开发。为了方便,他把公司的代码仓库直接同步到了自己的个人GitHub账户上。结果因为个人GitHub账户的安全设置不完善,这些代码被一个自动爬虫抓取并公开在了互联网上。
更糟糕的是,这些代码中包含了公司的核心算法逻辑和数据库连接配置信息。攻击者通过数据库配置信息直接访问了公司的生产数据库,窃取了数百万条用户数据。等公司发现时,这批数据已经在暗网被多次转卖。
带来哪些隐患
远程办公环境下数据安全面临的风险跟传统办公有着根本性的不同。核心问题在于安全边界消失了——在公司内部,所有的数据访问都受到防火墙和内部安全策略的保护;但在远程办公环境下,员工可能在任何地点使用任何设备访问企业数据,安全边界变得模糊不清。
个人设备的安全状况是一个大问题。员工家里的电脑可能没有安装防病毒软件,系统可能很久没有更新补丁,甚至可能已经被植入恶意软件。当员工用这样的设备访问公司系统时,就相当于在公司的大门上开了一个后门。案例中的工程师用个人电脑处理工作,电脑上的木马病毒可以轻松记录他的键盘输入,窃取公司系统的登录凭证。
公共WiFi的风险也不容忽视。很多员工在咖啡厅、酒店、机场等公共场所远程办公。这些场所的公共WiFi安全性极差,攻击者可以轻松实施中间人攻击,截获员工与公司系统之间的所有通信数据。如果企业没有强制使用VPN连接,所有的数据传输都是明文暴露的。
还有一个常被忽略的问题是屏幕隐私。在公共场所办公时,旁边的人可能无意中看到屏幕上的敏感信息。更严重的是,有些人在开视频会议时没有注意背景环境,身后的白板上可能写着重要的项目信息,或者桌上摊开的文件被摄像头拍了个正着。
文件传输也是高风险环节。员工在远程办公时经常需要通过即时通讯工具发送工作文件,或者在多个设备之间同步数据。如果这些文件没有加密,传输过程就像是在大街上喊话,谁都可以听得到。很多员工习惯用个人微信或者网盘来传输工作文件,这给企业数据安全带来极大隐患。
给我们什么提醒
远程办公的数据安全防护需要多想一步做细一步。
第一,统一的远程接入方案是基础。企业应当部署专业的企业VPN或零信任网络接入方案,确保所有的远程访问都经过加密通道。同时要对远程访问设备进行合规检查,不符合安全要求的设备不能接入公司网络。
第二,数据不落地是核心原则。理想的情况下,员工通过远程桌面或虚拟桌面来访问公司资源,数据始终保留在公司的服务器上,不下载到个人设备。这样即便个人设备被攻破,企业数据也不会丢失。
第三,终端安全不能松懈。对于允许使用个人设备办公的企业,应当要求安装统一的安全管理软件,进行必要的安全基线检查。办公用的设备也要跟个人娱乐用途分开,降低交叉感染的风险。
第四,远程办公的安全规范要写清楚发到位。什么数据可以带出公司、在哪些场所可以处理工作、文件传输用什么工具、屏幕保护怎么设置,这些细节都要有明确的指引。员工不是故意泄密,很多时候是因为不知道什么是安全的做法。
企业启示
远程办公的趋势不可逆转,但数据安全不能因此打折扣。北京企密安信息安全技术有限公司观察到,很多企业的远程办公安全方案是在疫情期间匆忙上马的,缺乏系统性的规划和持续性的维护。远程办公是一把双刃剑,它给企业带来了灵活性,但也打开了新的风险敞口。企业应当重新审视远程办公环境下的安全策略,不能再用传统办公的思路来管理远程团队。
