现在的手机早就不是简单的通讯工具了,它几乎成了我们随身携带的第二台办公电脑。公司邮件、内部通讯软件、审批流程、文件查看,全都装在一巴掌大的设备里。工作越来越方便的同时,手机也变成了信息泄漏的高发媒介。我自己就处理过好几起通过手机引发的泄密事件,每一次的起因都是当事人没有意识到手机使用中的风险点。今天我把手机使用中常见的保密陷阱系统地梳理一遍,希望能帮大家在用手机处理工作的时候多留个心眼。
第一个陷阱是公共WiFi环境下的数据传输风险。很多人为了方便,在咖啡厅、高铁站、机场、酒店这些有免费WiFi的地方,直接用手机连接公共网络登录公司系统查看邮件或者处理工作流程。但公共WiFi的安全防护等级非常低,甚至一些所谓的免费公共热点是攻击者自己架设的钓鱼网络。当你连上这些网络的时候,你在手机上的所有网络请求都有可能被拦截和读取。如果公司系统本身没有做端到端的加密,你的用户名密码和正在查看的工作内容就会以一种非常裸奔的方式暴露在网络之中。我自己出差的时候就特别注意这一点,一概不连不熟悉的公共WiFi来处理工作内容。如果确实有需要在路上处理紧急的工作事务,我有两个选择——要么用手机自带流量开热点给电脑用,要么连上公司VPN之后再访问内部系统。这样虽然会多用一点流量,但比自己暴露在公共网络里要安全得多。
第二个陷阱是拍照截图的不当使用。手机拍照的便利性让很多人养成了遇到什么就先拍一张的习惯。开会的时候看到投影上的项目规划拍一张,电脑屏幕上显示的数据分析结果拍一张,同事传过来的内部文件拍一张。拍照或者截图的速度比手写记录快得多,但照片和截图一旦存在于手机相册里,它的后续流转就完全脱离了你的掌控。手机可能丢失、手机可能被借用、手机上的应用可能有漏洞、你的云相册自动同步功能可能把照片上传到了非公司管控的云服务器上。我接触到的一个比较典型的案例是,某位员工在开产品评审会的时候用手机拍了张项目数据图,拍完之后顺手就发了条朋友圈配文说今天晚上加班做评审,结果照片里的项目数据被朋友圈里某个相关行业的人看到了。看起来只是一个很日常的动作,但带来的后果却完全超出了当事人的预料。所以建议大家都养成一个习惯——工作中需要记录的信息尽量使用公司配发的设备和工具来做,如果只有自己的手机可以使用,重要的信息优先选择用文字笔记的方式概括性地记录,而不是直接用拍照或者截图的方式把原始数据完整保存下来。万一确实因为工作安排需要使用手机拍图或者截屏,记得用完立刻传到公司系统中归档,然后从手机本地和云相册中彻底删除原始文件。
第三个陷阱是社交软件的消息误发和截图外传。微信、QQ这类社交软件已经深度融入了我们的工作和生活,公私信息的边界越来越模糊。很多同事同时使用几个不同的账号分别处理工作和私人社交,但手机端的账号切换操作非常频繁,误把工作消息发到私人群或者把不该说的话说给不合适群体的事情时有发生。更麻烦的是,你在社交软件上跟同事聊的工作内容,对方随时可以用截图的方式转发出去,而且转发之后你完全没有办法控制。所以当你在手机上跟同事沟通工作的时候,尽量使用公司提供的专业通讯工具,这些工具一般会提供水印、阅后即焚、禁止截图等额外保护。如果不得已需要在外部的社交软件上沟通工作,你对信息的敏感程度一定要有一个清晰的标准——不应该在外部社交软件上用文字形式明确描述的内容,尽量当面聊或者用加密电话沟通,不要给自己留下后面说不清的隐患。
第四个陷阱是手机丢失或被盗之后的二次风险。这个陷阱很多人都知道它的存在,但很少有人真正为此做好了准备。手机丢了不仅仅是损失一部设备,更可怕的是手机里存着的工作相关信息和用手机登录的所有公司服务。如果你的手机没有设置有效的解锁密码或者生物识别,或者设置的密码过于简单容易被猜到或破解,那么拿到你手机的人可以毫无阻碍地浏览你手机上的一切内容。如果你的手机里装了公司的邮件、通讯软件、文件管理类应用并且处于自动登录状态,那对方的浏览权限范围就更大了。除此之外还有绑定了手机号码的各种账号验证体系,拿到手机的人有可能通过短信验证码重置你各种工作账号的密码。所以手机的基础安全设置一定不能马虎,强密码、生物识别必须在手机上启用,手机系统要保持在最新的安全补丁版本,有公司要求的设备管理配置也要按照规定完成。同时一定远程擦除功能的开关了解清楚怎么用,手机丢失后的第一时间要通过其他设备锁定并远程擦除手机里的数据。这一步做得越早,数据被别人获取的可能性就越小。
第五个陷阱是应用程序权限过度泛滥。安装手机应用的时候很多人从来不看应用申请的权限列表,直接一路点击同意。但很多免费应用申请的权限远远超出了正常功能所需的范围。比如说一个手电筒应用为什么要读取你的通讯录,一个天气应用为什么要获取你的位置信息和相册访问权限。如果手机上安装了过多拥有过高权限的第三方应用,手机里存储的工作信息就有可能通过应用的异常行为而被悄无声息地传出去。控制这个风险的方法不难但是需要一点耐心——定期检查手机上所有应用的权限配置,关闭那些不是你主动需要就不应该存在的高风险权限比如读取通讯录、读取短信、访问全部文件和查看应用列表。不必要的应用及时卸载,尤其是来源不清、应用商店中评分和下载量不明的应用。手机上只安装真正需要用到的工具,越少越安全。
第六个陷阱是二手手机处理不当。换新手机的时候旧手机怎么处理,很多人没太当回事。觉得自己已经在手机上恢复出厂设置了,数据应该就没了。但普通级别的恢复出厂设置远远不足以确保存储介质上的信息被彻底清除。专业的数据恢复工具可以从已经恢复出厂设置的设备上找回大量的残留信息,包括联系人、短信、相册中已删除的照片、应用程序中留下的缓存数据。所以建议旧手机的处理方式不能只有恢复出厂设置这一步,较好使用专门的数据清除工具做多次覆写,或者物理方式破坏存储芯片,或者交给有资质的电子废弃物回收商来做专业处理,这样的处理才能真正保证手机里的信息不会在你不希望的时候被别人看到。
第七个陷阱是手机维修过程中的信息接触。手机出了故障拿去维修,维修人员有了接触你手机上数据的物理条件和时间窗口。如果你在送修之前没有做好数据的备份和清除,手机中的个人和工作信息就可能暴露给完全不了解背景的第三方维修人员。送修之前的标准动作应该是在做完整的备份之后,把手机恢复到出厂状态,或者至少启用访客模式,确保维修人员看不到你的核心工作数据。手机取回之后立即从备份中恢复数据,并检查有没有异常的登录记录和权限变更。
手机安全是个人设备安全中比较容易出问题的一环,因为手机不像公司的台式电脑一样有专门的IT团队统一管控和运维。每个人对自己手机的安全负责,也就等于对自己手上的公司信息负责。手机上每多留意一个陷阱,信息泄漏的风险就多一分保障。这些使用习惯建立起来之后并不需要花额外的精力去维护,它会在你的每一次操作中自然而然地保护你和公司之间的信任关系。毕竟带着手机处理工作已经是我们每一个人都离不开的日常了,在这样的日常里建立起安全的操作习惯,花的时间最短,得到的回报较大。
