近日,香港数码港和消委会分别发生电脑系统被黑客入侵事件,这再度提醒大家有关企业机构数据保安的重要性。在数码时代,企业经营者尤其需要加强保护内部及员工个人资料,尽力减低外泄风险,但应当如何做?先让笔者分享一个真实故事。
约10年前的某天,一位老板突然致电我们投诉,说ERP系统的库存管理出了问题,当天早上系统和实际库存都显示有8件商品,到晚上系统纪录却变成9件,而当天并没有任何交易。这让我感到非常困惑,因为我们的Eastop ERP系统向来以高度精确而见称。
我们团队随即仔细检查当天数据,发现该老板亲姊的帐户曾于中午登录系统,并删除一笔转仓单,正正涉及缺失的商品。但奇怪的是,老板指出他当时正亲自开车载其姊姊前去机场,并目送她登上离港航班,因此不可能在那段时间登入Eastop ERP系统,而系统又只有他和他姊有删除转仓单的权限。
然而,在我们的审计报告中,足以证明「姊姊」是从特定的电脑登入,因一切都有纪录。于是老板决定报警,同时展开内部调查,最后透过保安录像,证实有位员工曾偷看及记录老板姊姊的帐户和登入资料,并使用她的身分作案。
这个故事说明系统的重要性,让企业在营运上出了任何事态,都可追踪到源头,及时应对,规避风险。综合而言,我认为企业及电脑系统使用者,应着重和注意以下几点:
1. 强化身分验证和存取控制:使用多层次身分验证和严格的存取控制权限是必要的,确保只有授权人员才可访问敏感数据。在上述例子中,正是一名员工窃取了权限,但透过ERP系统的审计报告,能快速锁定特定数据,精确追溯到问题根源。
2. 加强数据加密和备份:将数据加密是防止数据外泄的关键一环,而定期备份数据以应对可能的数据损失或安全事件,也是必要措施。
3. 监控和日志纪录:通过监控,可快速回应异常活动并采取适当措施。而实施监控和日志纪录系统,能即时检测和应对潜在的安全问题。
4. 整合数据管理系统:若使用多套未整合的系统,或将重要资讯储存在简单的Excel或Word文件中,容易导致数据外泄。一个完整的企业资源规划(ERP)系统,能有效整合各业务部门的数据并保持一致性,但要注意系统必须紧贴供应商所提供的更新升级,以提高安全性。
5. 员工培训和教育:定期培训和教育员工如何实践资料安全,这一点绝不能缺少。应让同事们了解如何识别和应对钓鱼攻击、勒索软件等常见的数据安全威胁,并懂得主动报告任何可疑事件。
透过以上这些步骤,我相信可最大程度地减少人为因素的数据外泄风险,以确保企业持续运作顺利,并保持良好声誉。
作者:Eastop 东升电脑顾问有限公司联合创办人及 CEO 郑竞雄(Sophie)