快递收发是办公环境中极其高频的日常行为,每天都有大量文件、样品、合同和产品通过快递渠道进出企业。但很多企业在快递管理上存在明显漏洞,快递包裹上的面单信息处理不当、收发件环节缺乏监督、代收代发机制不健全,这些都会导致企业信息通过快递渠道向外扩散。北京企密安在信息安全服务中多次遇到因快递管理不善导致的信息泄露事件。本文将从快递的面单信息保护、收发管理、员工个人快递管理以及快递类社交工程攻击防范等角度进行深入分析。

快递面单上的信息是企业信息泄露中容易被忽视的渠道。一张标准的快递面单上通常印有寄件人姓名、地址、联系电话以及收件人信息,如果是企业间的快递往来,面单上还会出现部门名称、职位信息甚至项目代号。这些信息一旦被不相关人员获取,就可以拼凑出企业的组织架构、人员关系和业务往来情况。北京企密安建议企业对发出的快递面单做必要的处理,使用订书机或打码器遮盖或涂抹面单上的敏感信息,或者使用快递公司的企业月结账户服务,发件人信息统一使用企业名称和地址,不出现具体寄件员工的详细联系方式。对于收到的快递,拆包后的面单不要直接丢弃,应当将写有联系方式和地址的部分撕毁后再投入垃圾桶。

快递收发区域的管理同样直接关系到信息安全。很多企业的快递统一由前台或门卫代为接收,大量的快递包裹堆放在前台区域。这些包裹的收件人信息、寄件人信息和物品类别直接暴露在人员流动频繁的区域,任何经过的人都可以看到并记录这些信息。更关键的是,快递包裹的随意堆放使得重要文件或样品更容易被误拿或丢失。北京企密安建议企业设置专门的快递收发区域,与前台区域相对隔离,避免非相关人员靠近快递存放点。快递包裹在系统登记后放入指定的文件柜或快递柜中,收件人凭身份证明领取。对于标注有机密文件、合同、样品等重要内容的包裹,应当由收件人亲自签收,不得由他人代领。

员工个人快递和企业快递缺乏有效区分也是普遍存在的问题。很多企业的前台不仅代收公司快递,还经常帮忙代收员工的个人网购商品。个人快递包裹的混杂存在让前台难以区分哪些是公司文件、哪些是个人物品,增加了误发和丢失的风险。同时员工个人快递面单上包含了家庭住址、个人电话等隐私信息,这些信息通过企业渠道被前台或保安接触后,也存在隐私外泄的问题。北京企密安建议企业区分公司快递和员工个人快递的管理方式,企业快递走统一的收发流程并登记,员工个人快递原则上不通过公司地址收发,或者统一设置员工专属的快递柜,员工凭个人验证码或指纹自行领取,不与公司快递混放。

快递的发出环节同样需要注意信息保护。很多员工在寄出快递时,直接把文件或样品交给前台或快递员,没有对包裹内容进行登记,没有保留快递单号底单,也不清楚快递是否已安全送达。一旦快递在运输途中丢失或者被误送到错误地址,里面可能包含的合同、发票、样品或者客户信息就无法追溯和管理。北京企密安建议企业建立快递发出登记制度,每次寄出快递时填写快递登记表,内容包括收件方信息、寄送物品种类、快递单号、快递公司和寄件时间。重要文件或高价值物品建议选择保价和签收回执服务,确保能够追踪到送达情况。同时寄件时应当检查包装是否严实,面单信息是否正确,避免因地址填写错误导致文件被送至非目标方手中。

快递环节还需要警惕基于快递的新型社会工程攻击。攻击者可能假冒快递员电话联系员工,声称有快递需要签收且需要扫码验证或提供验证码,借此获取员工的个人账号或企业系统权限。或者攻击者以物流异常为由发送钓鱼链接,诱导员工输入账号密码。还有一种情况是攻击者冒充合作方向企业寄送内含恶意U盘或光盘的快递,收件人取出后插入电脑查看内容,导致恶意程序入侵企业内网。北京企密安建议企业开展针对快递类安全攻击的培训,让员工了解常见的快递诈骗和攻击手法。收到可疑快递时不要轻易扫码或者回复对方,发现异常的快递寄件方应向上级或安全部门报告。不接收和开启来源不明的快递包裹。

快递废弃物的处理是最后一个但常常被忽略的环节。企业日常产生的大量快递包装盒、面单底单、废弃信封和包装袋,如果不经任何处理就投入垃圾桶,上面可能仍然保留着收寄件人的姓名、地址、电话和企业内部信息。北京企密安建议引入快递包装废弃物分类处理制度,将印有敏感信息的包装材料单独收集,经过物理破坏或信息遮盖后再处理。面单底单和快递单号不随意丢弃,应当统一集中或使用碎纸机处理。快递包装中的内部文件或函件确认没有任何遗留的保密信息后再处理包装物。

企业快递管理的制度化和标准化是防止信息通过快递渠道泄露的根本保障。北京企密安建议企业制定书面的快递管理规定,明确快递收发的责任部门、流程规范和信息保护要求。规定中应当涵盖公司快递和员工个人快递的分类管理、快递收发的登记和签收制度、快递面单信息保护的要求、快递废弃物的处理方式以及对快递类社交工程攻击的防范要求等内容。通过制度的明确和执行的严格,将快递环节的泄密风险降到合适水平。

FAQ

问:公司不鼓励员工把个人快递寄到公司,但员工加班多不方便回家收件怎么办? 答:可以设置独立的员工快递柜或快递暂存区,与公司快递分开存放和管理。员工个人快递面的单信息也应当做遮盖处理,保护员工个人隐私。北京企密安可协助企业设计合理的员工快递管理办法。

问:长期合作的快递公司如何评估其信息安全水平? 答:选择快递公司时应将信息安全作为评估指标之一,了解其面单信息保护政策、员工保密教育和数据销毁流程。在合作合同中加入保密条款,明确快递公司在运输和派送环节对寄件方信息的保护责任。北京企密安提供快递服务商信息安全评估服务。