远程办公离不开即时通讯工具。你在微信上跟同事对一下方案,在钉钉上传一份文件,在飞书上建一个项目群,这些操作已经成为日常工作的一部分。但你有没有想过,你在即时通讯工具中发送的每一条消息、上传的每一个文件,都可能在你看不到的地方被记录、被转发、甚至被截获。
我遇到过一个挺典型的案例。一家设计公司的设计师在微信上把设计稿原文件发给了同事做修改,同事下载后在本地打开,设计稿就这样以非加密的原始文件形式存储在两个人的微信缓存文件夹里。后来这个设计师的电脑中了病毒,微信缓存文件夹里的文件全部被窃取,包括多个还未交付客户的设计稿。问题出在哪里?文件在即时通讯工具中的传输和存储都没有加密保护。
即时通讯工具在远程办公中使用的安全问题,主要体现在以下几个方面。
第一个是消息内容的存储保护。大部分即时通讯工具的消息记录默认存储在本地设备的缓存数据库中。如果你用的设备没有磁盘加密,这些消息记录就是明文存储的,任何能够物理接触到这台设备或者拥有了设备管理权限的人,都可以轻松读取你的聊天记录。我测过几个主流的即时通讯软件,有的聊天记录数据库甚至不需要任何解密手段就能直接打开浏览。
第二个是文件传输的安全。通过即时通讯工具发送的文件,有些是端到端加密的,有些则不是。就算传输过程是加密的,文件到达对端后怎么存储、谁来控制访问权限,这些都不在发送方的控制范围内。文件被下载后,接收方可以随意转发给任何人,没有任何追溯机制。在远程办公中,这个问题更加突出,因为文件的发送和接收都不在公司内部受控环境里进行。
第三个是群聊的信息扩散风险。远程协作中,你可能会在团队群里讨论一些比较敏感的信息,比如客户报价、项目排期、内部人事调整。群聊的特点是信息一旦发出去,所有群成员都能看到,而且消息会被转发、截图。我在一个客户那里见过,某员工把公司内部群聊中关于薪资调整的讨论截图发到了自己的朋友圈,虽然很快删除了,但已经被很多人看到,造成了不小的负面影响。
针对这些风险,企业可以从几个方面采取应对措施。
首先是选择合适的即时通讯工具。不建议使用个人微信来进行正式的远程工作沟通。个人微信的消息存储在公司不可控的私人设备上,账号也被个人控制,离职后公司没有追溯能力。建议使用企业级的即时通讯工具,这类工具通常提供了更完善的权限管理、消息存档和审计功能。
其次是开启必要的数据保护功能。企业级即时通讯工具一般都有消息加密、截屏管控、消息水印、文件分享权限控制等功能。建议把这些功能都开启,尤其是截屏管控和消息水印,可以在一定程度上防止消息通过截图外泄。对于高安全需求的场景,还可以开启阅后即焚模式或者消息禁止转发模式。
第三是建立即时通讯的使用规范。什么样的信息可以在即时通讯工具中讨论,什么样的信息需要通过更安全的渠道传输?比如客户个人信息、合同条款、账号密码这类敏感信息,应该禁止通过即时通讯工具传输,要求使用加密邮件或者公司内部的加密传输系统。规范中还应明确禁止在工作群中讨论与工作无关的敏感话题,以及禁止将内部聊天内容转发到外部。
还有一个容易被忽略的安全设置是设备的远程擦除功能。如果员工的手机或者电脑丢失,设备上存储的即时通讯数据应该如何清理?企业级即时通讯工具一般支持管理员远程擦除设备上的公司数据,但前提是企业已经开启了相关的管理策略。我建议企业在部署即时通讯工具时就配置好远程擦除策略,而不是等设备丢失了再去找客服开通。
即时通讯工具给远程协作带来的便利毋庸置疑,但不能因为便利就放松安全这根弦。选择对的工具、配置好安全策略、建立使用规范、再加上培训教育,才能让即时通讯成为远程办公中安全又高效的基础设施。
