在時下全球科技環境中,駭客入侵風險始終居高不下,這一點眾人皆知,也早就習以為常。
這類入侵行為越來複雜,但只要排除人為疏失、進行資料加密,或者實施有效的安全意識訓練,就能遏止其中諸多攻勢。在許多情況下,消除有風險的漏洞十分合理,而檔案傳輸流程就是可能存在漏洞的一個環節。我們不需再多說傳輸中資料與閒置資料、影子 IT 或社交工程的危險之處,姑且假設公司行號想要保護自己以及客戶、供應商與其他聯絡人的敏感資訊。
如果您採用信用卡作業,就必須遵守 PCI-DSS,如果您處理病歷之類的臨床資料,則必須遵守 HIPAA,另外可能也要遵守 PCI-DSS。視管轄法/州法而定,另有其他規定要求遵守身分防盜或資料隱私權法規。美國北卡羅來納大學 (University of North Carolina) 提供了一份非常棒的敏感資料範例清單。
無論是個人身分識別資訊 (Personally Identifiable Information, PII)、受保護健康資訊 (Protected Health Information, PHI) 或員工資料,這些全都屬於敏感資料,一旦落入有心人士之手,就可能用在受害對象身上,成為盜用身分或金融詐騙的工具。
資料必須共用
主要問題在於資料通常具有共用性質,只不過共用過程不見得有效率。在銀行、金融服務和保險 (BFSI) 產業中,必須基於業務所需共用各式各樣的資料。比方說,銀行進行信用調查時就必須共用資料;正因如此,Equifax 在 2017 年成為駭客的攻擊目標 (造成 1.43 億美國人的敏感資料外洩) 也就不足為奇了。
銀行之間會共用財務報表、客戶對帳單、帳戶更新資訊等各類資料,或者會將此類資料儲存在中央伺服器中。隨著金融科技、智慧支付以及其他金融服務的興起,資料共用情形越來越普遍。資料分析、大數據以及因此衍生的鎖定行銷,這些全都必須透過共用方式進行。
醫療保健業是另一個主要目標,因為儲存及共用臨床與財務資料在這個產業中早已成為慣例,共用資料者可能包括保險公司,也可能包括必須提供諮詢意見或者提升醫療照護水準的專業醫療人員。若醫療業者並未參與患者照護過程,不需經過患者同意即可共用臨床資訊 (但須去除 PII)。目標如此顯著,莫怪 2018 年發生了多起醫療保健業遭駭風波。
以上所述是和駭客一樣以金融業和醫療保健業為主,但凡需儲存敏感資料者都會面臨一樣的問題,而在這個時代,有誰不需要儲存敏感資料?您會與他人共用敏感資料嗎?如果會,那麼您就需要好好思考自己的檔案傳輸流程。法規並未要求組織採用制式資料安全防護措施,但希望組織善盡盡職調查責任,同時也會懲處不遵守規定的組織。各行各業都出現了資料外洩問題,眾所皆知的駭客入侵事件也不在少數,因此,組織不能拿不知道當擋箭牌。
為何不透過安全的方式傳輸檔案?
公司行號必須尋找保護敏感資料的方式,不過,必須兼顧效率以及注意能否強化業務運作與流程。一定要遵守管理標準和規章,這一點無庸置疑,但不同的產業和地理位置仍然有別。有效的檔案傳輸解決方案能顧全大局,即便是老舊的舊版基礎架構 (這是銀行業普遍抱怨的問題) 也沒問題,更不分平台類型或企業規模。
為何不自動處理這些流程,排除需要反覆執行的作業及所謂的「忙碌作業」,讓人們有時間專心處理需要人工處理的事情?至少我覺得這樣很合理。自動處理檔案傳輸作業 (不是雜亂無章地透過電子郵件、雲端共用技術或 VoIP 聊天視窗附件傳送) 包括但不限於以下優點:
1.集中控制
可由專職 (仔細選擇而非隨意指定的) 員工負責建構、排程及管理檔案傳輸作業,降低反覆輸入資料可能導致的人為疏失。也可以建立批次作業,按照一定的時間間隔定期傳輸。
2.一種解決方案適用於所有傳輸作業
使用者只需要專心處理一個問題,不需要同時兼顧多種檔案傳輸選項。減少混亂情形,也能盡量避免檔案傳輸過程中發生重複傳輸或漏傳的情形。
3.提升資料安全
在檔案傳輸全程各階段當中,資料一律經過加密,能夠確認最終收到檔案的是獲得權限的接收方,每次傳輸作業還有完整的記錄。
4.即時掌握傳輸狀態
檔案傳輸狀態一覽無遺,一旦收到 (因連線中斷或其他干擾導致) 傳送失敗等問題的警示,即可立即採行對策。
5.提升效率
自動傳輸能節省時間,讓管理員得以花更多時間建立其他觸發條件和警示,與既有的檔案傳輸流程相輔相成。並非每一項傳輸作業均採自動傳輸模式,需要傳輸大型檔案或只需要安排一次定期傳輸時,您仍然可以微調手動傳輸作業。
6.多使用者自動化選項
管理員很容易就能依使用者建立觸發條件。進行資料庫更新,或是在每日尾聲將資料備份到中央伺服器時,這項功能特別實用。
7.更容易遵守法規
由於記錄檔會追蹤並記錄每一項資訊 (而且記錄檔是不能編輯的),您可以輕鬆遵守各式各樣的法規。
8.稽核記錄
管理式檔案傳輸有一項主要特色,那就是每一次的檔案傳輸作業均可接受完整稽核,因為稽核資料會記錄傳送者、傳送時間以及接收方。一旦資料外洩,這類證據就能發揮事半功倍之效,這是傳統檔案傳輸方式做不到的。稽核記錄也能避免遭駭客入侵得手的企業因資料外洩而蒙受罰金與聲譽受損等損失。
結論是,除非您想挑戰管理 FTP 伺服器蔓生及指令碼造成的夢魘,否則就不能忽視管理式檔案傳輸解決方案是檔案傳輸自動化的唯一法則。法遵規定越來越嚴苛,各企業不得不思考資料外洩會給客戶留下什麼樣的印象。信任是企業無法忽視的商品,一旦失去信任,重新爭取信任感的機會往往微乎其微。我本身也是各種服務的消費者,當然期望所有公司行號都能妥善保護我的 PII。萬一我的 PII 出現風險,事後我發現自己所選的公司竟然沒有做好基本的安全防護預防措施,我自然會另選其他公司…也許還會找個律師。
您意下如何?企業是否有義務保護資料庫中的所有資料 (即使存在虛擬資料庫也一樣),如需存取或共用,只能限於業務用途?或者,您認為企業有資格運用資料深入挖掘更多資訊,並因為行銷用途隨意共用資料嗎?
轉自IPSWITCH中文官方部落格