近日,香港數碼港和消委會分別發生電腦系統被黑客入侵事件,這再度提醒大家有關企業機構數據保安的重要性。在數碼時代,企業經營者尤其需要加強保護內部及員工個人資料,盡力減低外洩風險,但應當如何做?先讓筆者分享一個真實故事。
約10年前的某天,一位老闆突然致電我們投訴,說ERP系統的庫存管理出了問題,當天早上系統和實際庫存都顯示有8件商品,到晚上系統紀錄卻變成9件,而當天並沒有任何交易。這讓我感到非常困惑,因為我們的Eastop ERP系統向來以高度精確而見稱。
我們團隊隨即仔細檢查當天數據,發現該老闆親姊的帳戶曾於中午登錄系統,並刪除一筆轉倉單,正正涉及缺失的商品。但奇怪的是,老闆指出他當時正親自開車載其姊姊前去機場,並目送她登上離港航班,因此不可能在那段時間登入Eastop ERP系統,而系統又只有他和他姊有刪除轉倉單的權限。
然而,在我們的審計報告中,足以證明「姊姊」是從特定的電腦登入,因一切都有紀錄。於是老闆決定報警,同時展開內部調查,最後透過保安錄像,證實有位員工曾偷看及記錄老闆姊姊的帳戶和登入資料,並使用她的身分作案。
這個故事說明系統的重要性,讓企業在營運上出了任何事態,都可追蹤到源頭,及時應對,規避風險。綜合而言,我認為企業及電腦系統使用者,應著重和注意以下幾點:
1. 強化身分驗證和存取控制:使用多層次身分驗證和嚴格的存取控制權限是必要的,確保只有授權人員才可訪問敏感數據。在上述例子中,正是一名員工竊取了權限,但透過ERP系統的審計報告,能快速鎖定特定數據,精確追溯到問題根源。
2. 加強數據加密和備份:將數據加密是防止數據外洩的關鍵一環,而定期備份數據以應對可能的數據損失或安全事件,也是必要措施。
3. 監控和日誌紀錄:通過監控,可快速回應異常活動並採取適當措施。而實施監控和日誌紀錄系統,能即時檢測和應對潛在的安全問題。
4. 整合數據管理系統:若使用多套未整合的系統,或將重要資訊儲存在簡單的Excel或Word文件中,容易導致數據外洩。一個完整的企業資源規劃(ERP)系統,能有效整合各業務部門的數據並保持一致性,但要注意系統必須緊貼供應商所提供的更新升級,以提高安全性。
5. 員工培訓和教育:定期培訓和教育員工如何實踐資料安全,這一點絕不能缺少。應讓同事們了解如何識別和應對釣魚攻擊、勒索軟件等常見的數據安全威脅,並懂得主動報告任何可疑事件。
透過以上這些步驟,我相信可最大程度地減少人為因素的數據外洩風險,以確保企業持續運作順利,並保持良好聲譽。
作者:Eastop 東昇電腦顧問有限公司聯合創辦人及 CEO 鄭競雄(Sophie)