MOVEit

MOVEit 登入作業強制實施安全政策協議

能存取 MFT 解決方案的使用者就有使用權,也清楚知道能將該解決方案運用於哪些用途,這是必然的。不過,這樣的模式未必正確。

由於內部組織發展及 GDPR 等外界規範新制的緣故,安全政策會定期出現變化。照字義解釋,經過核准的使用者就有權管理敏感資訊傳輸作業,不過,安全規定經常更動,若因此認為所有使用者都能隨時清楚最新規定,顯然不切實際。話雖如此,您仍需要找到好的做法,一方面讓所有使用者掌握最新資訊,一方面也要讓他們同意遵守新的安全政策。沒有人希望聽到無意間引發安全漏洞的使用者說:「我不知道這樣做不對!」

可供稽核的管理式檔案傳輸登入免責聲明

想確定使用者都清楚安全政策,在登入時強制要求遵守規定是個有效的方法。使用者必須先勾選核取方塊,表示已經閱畢並同意某項特定的安全政策,之後才能通行無阻。最新版的 MOVEit 2018 就包含這項功能:現在,Ipswitch 客戶可以提醒一般使用者和管理員同意安全 (或任何其他) 政策,也能保留使用者和管理員同意接受政策的證明。

看過新的安全聲明後再登入
看過新的安全聲明後再登入

請記住,凡未勾選核取方塊的人,一律不得通行;使用者必須先閱讀政策內容才能登入。使用者只需要進行這個步驟一次,因此,這項措施並不會加重系統負擔。另請注意,除了安全政策外,這種方式也能適用於其他政策 – 管理員可以在這個區塊寫下任何內容。

自訂安全聲明
自訂安全聲明

無論貴組織有哪些具體需求,您都可以擬定一套明確的政策,並且要求使用者同意該項政策。這種方式不但能夠強制實施您自己的資料安全標準(DSS),也能徹底遵循 GDPR 和 HIPAA 之類的規範。此外,您也能夠因此隨時掌握經常更動的規定,因為,只要您更改安全政策,使用者下次登入時就必須同意該項政策。最重要的是,管理員因此能夠確切記錄每位使用者同意的政策,以及使用者同意該項政策的時間,以備因應稽核之需。

先同意再登入報告
先同意再登入報告

無論採行哪一項政策,再也不會出現使用者宣稱「我不知道!」這樣的情況了。您可以出示確切證據,證明使用者確實知情,而且同意遵守。

如需深入瞭解 MOVEit 2018,請在這裡參閱產品專頁這裡

本文轉載自Ipswitch 中文網站部落格

如何在不降低安全性的情況下增加協同作業

協作在現代工作場所中至關重要,但如果做得不正確,協作環境也可能是不安全的。以下是如何在不降低安全性的情況下增加工作場所協作的方法。

詢問任何經理或任何工人,他們認為這是健康工作場所的一個要點,你肯定會聽到合作這個詞,或者它是同義詞,團隊合作。

團隊合作對於快樂,實用的辦公室至關重要,增加協作應始終是優先考慮的事項。而且,隨著雲端計算和協作文字處理器的出現,每天進行協作變得更加容易。

但不幸的是,這一切都有不利因素。如果沒有適當的預防措施,開放的協作環境也可能是不安全的 – 特別是在涉及敏感數據的情況下。

值得注意的是,敏感數據不僅僅意味著信用卡號碼和醫療數據等訊息。我們生活在GDPR時代,現在,如果處理不當,即使是包含電話號碼和電子郵件地址的銷售電子表單也會導致大規模的合規性問題,罰款和安全問題。

協作會帶來哪些安全風險?

如上所述,在協作方面,主要關注的是安全數據的不當處理,這可能導致安全問題和合規性問題。

到目前為止,眾所周知,任何安全環境中最薄弱的環節都不是防火牆,防毒或SIEM。這是人民。一次又一次,大數據洩露是由簡單的人為錯誤引起的。人們忘記鎖定充滿敏感信息的S3存儲裝置,人們通過Google雲端硬碟分享患者數據,人們陷入網路釣魚計劃。事實上,根據Verizon公司2018年數據洩露調查報告,企業也超過三倍,可能被成功的社會攻擊(那些以人),比實際的漏洞被擊中。

所以這是一個事實:當您允許更多人訪問和使用敏感訊息時,您將增加數據洩漏的風險,以指數方式抵禦所有這些威脅。

讓用戶遠離影子IT

在協作時代,BYOD和雲端計算,Shadow IT對於大大小小的組織來說,這已成為一個長期存在 由於企業防火牆變得不那麼明確,並允許用戶使用自己的設備進行工作或在家工作,他們也可能希望在提供給他們的工具之外使用技術。無處不在的免費云存儲工具只會加劇這個問題。如果兩個在異地工作的用戶需要共享大量大文件,他們的第一選擇可能是轉向他們在私人生活中使用的工具之一:Dropbox或Google Drive。不幸的是,如果設置不當,這些工具可能會非常不安全,而免費版本肯定不符合嚴格的合規標準。那麼如何讓您的用戶遠離Shadow IT?通過為他們提供他們需要的工具。找到一個能夠完成他們需要做的事情的解決方案,

讓員工協作……安全合規的方式。閱讀這本免費電子書以了解如何。

例如,如果您的用戶需要傳輸大量敏感數據,那麼像MOVEit這樣的檔案傳輸管理解決方案可以讓他們掌握自己的功能,同時通過端到端加密和審計跟踪來保持安全性。

管理者如何建立安全的協作文化?

因此,我們已經確定了用戶在沒有適當安全預防措施的情況下進行協作時所產生的安全風險,但這並不意味著我們希望徹底遏制協作。那麼,如何在不用限制性政策束縛員工的情況下創造安全文化?

答案是員工培訓和為工作找到合適工具的組合。讓我們從訓練開始吧。

理想情況下,您所在組織的每位員工,即首席執行官,都應該接受一些安全和合規意識培訓。將其視為預防性維護。您使用威脅情報訓練和教育用戶的次數越多,他們犯下代價高昂的錯誤的可能性就越小。因此,培訓您的員工識別網路釣魚電子郵件,並在通過不安全的渠道發送敏感數據之前對其進行識別。如果您讓員工意識到安全性和合規性風險,那麼他們將您的業務置於危險之中的可能性就大大降低。您甚至可以設置虛假的網絡釣魚電子郵件來定位您的員工,並發送最快點擊的員工,以進行進一步的安全意識培訓。

如果您擁有資源,或者在外部公司的幫助下,您可以自己做這件事。您越熟悉用戶的網路安全,他們就越不可能被它們嚇倒或淹沒。

安全資料夾共享允許輕鬆檔案共享

如果您希望您的員工能夠以安全的方式進行協作,那麼您必須為他們提供相應的工具。

在敏感數據方面,消費者級文件共享解決方案根本不會這樣做。您需要一個檔案傳輸管理工具,如MOVEit,它可以保護您的數據,在傳輸和靜止時使用端到端加密,以及訪問控制和審計跟踪,使您可以準確管理允許訪問和傳輸的人員敏感數據。

MOVEit的新安全資料夾共享功能通過讓用戶建立自己的安全共享資料夾來與網路內外的任何人進行協作來消除瓶頸,同時管理員可以完全控制權限和審核日誌。靈活的部署選項可以使安全資料夾共享與在Windows和MacOS上拖放文件夾傳輸一樣簡單,允許與無限的內部和外部用戶進行更多協作,具有MOVEit的所有標準安全功能,包括防篡改審計文件可見性的日誌和細化權限。

銀行和金融使用(MFT)管理檔案傳輸的好處

在BFSI(銀行,金融服務和保險)行業,選擇管理檔案傳輸解決方案相當簡單,因為單憑FTP不足以滿足必要的法規和合規性要求。

管理檔案傳輸(MFT)軟體是唯一的解決方案,允許在數據傳輸過程的所有節點進行審計跟蹤,無論數據是靜止還是傳輸。當然BFSI公司使用MFT還有其他好處。

消費者需求如何推動數據安全要求?消費者信任在全球市場中是否必要?

涉及銀行,金融和保險的公司必須證明他們能夠以保護所有敏感數據的方式處理個人身份訊息(PII),尤其是金融交易,並允許跨國界的完全可追溯性(鑑於金融處理系統的全球性質) 。

通過託管文件傳輸提高安全性

使用MFT,安全性是必須的。在BFSI行業,由於參與組織之間共享財務數據和其他訊息,因此預計會進行文件共享。例如,如果進行信用卡付款,則付款人的銀行,收款人的銀行和信用卡公司都參與其中。實際上,在典型的國際轉移中,可能有幾個額外的銀行涉及電匯。這一切都取決於所涉銀行的工作流程。一家銀行可能有一個區域總部或合作夥伴銀行來處理特定國家的外國轉帳,而這些轉帳又被發送到收件人的當地分支機構。在這一過程中的所有方面,財務數據都受到保護,因此,以防止網路犯罪分子,他們認為BFSI行業是一個有吸引力的目標

在BFSI中,消費者信任是企業成功的關鍵,如果失去信任,客戶將尋求替代服務提供商。MFT解決方案提供完整的審計跟蹤,並且在數據洩露(通常涉及通知公眾)的情況下,允許組織輕鬆證明他們不對事件負責。使用非託管解決方案無法進行此級別的分析。由於發件人和收件人之間的授權是MFT解決方案的一部分,因此組織可以自信地聲明其流程按預期工作。

全球市場,全球合規

無論所涉及的BFSI細分市場如何,在全球市場中,所需的合規性都可以改變銀行業務流程。合規不僅是必不可少的,在許多情況下它是強制性的。這種合規性有所改善,特別是在可能會延遲技術改進直到絕對必要的小型組織中。

有處理PII(數據保護),信用卡交易(PCI-DSS)和其他財務數據的規定。如果一家銀行的交易僅限於該銀行,那會有多容易?不幸的是,金融交易遍布全球,跨越國界和銀行傳輸文件。每家銀行的責任在於遵守其轄區內的標準和法規,通常是他們自己的國家。當交易成為國際交易時,每個國家都有管理其BFSI細分市場的法規,而美國公司則不必擔心其他區域標準。當然,有一個明顯的例外是歐盟的GPDR(一般數據保護條例)保護歐盟居民的權利,包括“被遺忘的權利”和對發生後三天內未通知數據洩露的公司的罰款。所有在歐盟實體存在或與歐盟居民打交道的公司(全球)必須遵守GPDR。

通過託管文件傳輸可以簡化合規性挑戰,因為審計跟踪和報告功能可以立即驗證是否符合法規和標準。

安全文件傳輸:銀行和金融的挑戰和解決方案

銀行,金融服務提供商和保險公司都需要高度的安全性,因為他們習慣性地受到有財務目標的網路犯罪分子的攻擊。普遍接受的是,在這樣的環境中,單純的FTP是不夠的,因為它無法明確規範組織中數據的完整性從發送者和接收者之間的安全。管理解決方案可以做到甚至更多。

忘了過去的FTP!開始以安全且合規的方式傳輸數據。立即嘗試MOVEit。

銀行(或BFSI部門成員)還需要MFT解決方案嗎?

保持客戶信任的解決方案顯而易見,但有效的MFT解決方案必須包含其他功能。這些包括但不限於:

  • 易於使用 – 儀表板必須是用戶友好介面的,不僅針對IT專業人員。銀行家是銀行業等專家
  • 自定義 -較大的組織需要自定義儀表板和工作流以適應其獨特的環境。
  • 不可否認性 – 證明從來源到目的地的數據完整性的能力。
  • 日誌 -例如,何時訪問數據。
  • 平台和供應商無關 – 無論平台類型如何(iOS,Windows,Unix,Linux等),MFT解決方案都可以部署在任何地方。由於大多數大型組織的IT供應商列表中都有各種品牌/製造商,鎖定單一供應商是要避免的。
  • 正常運行時間(SLA) – 這應至少為99.999%(五個9),但當然取決於周圍的基礎設施和服務提供商。需要較多支援服務的解決方案並不合適
  • 可靠性 – 保證交付,在BFSI設置中尤為重要。
  • 可擴展性 – MFT解決方案處理增加文件大小?該解決方案可以輕鬆推廣到多個用戶和位置嗎?
  • 自動化 -降低運營成本。

雖然MFT是銀行和金融領域唯一有效的檔案傳輸解決方案,但最佳實踐表明,FTP流程和工作流程的管理需要IT團隊的指定責任方。這對於確保當前的操作工作流程得到優化並且反過來由MFT準確反映是必要的。可以通過涉及從較低級別員工移除權限來實現優化,例如,通過改善服務中斷的反應時間或通過監視多個站點上的檔案傳輸模式。

總之,所有MFT解決方案都不同,您選擇的解決方案必須補充現有的工作流程,並滿足未來的業務目標。欺詐檢測是此環境中的另一個考慮因素。您的組織是否收集或計劃收集數據集以識別欺詐活動?是否正確處理了所有敏感數據或由第三方處理?考慮所有這些活動,並使用您的結論,為您的組織選擇理想的MFT包。

用戶使用未經授權的文件傳輸解決方案?立即嘗試MOVEit。

防範內部威脅攻擊您的網路

「內賊難防這是 1979 年電影「奪命電話」(When a Stranger Calls) 裡的一句台詞,這部電影的劇情構想是「最可怕的或許就在我們以為最安全的地方」;當時,這句台詞嚇壞了不少觀眾。換個場景來到企業環境,這個說法竟然一點也不違和;資安團隊將重點放在防範外部威脅,包括惡意軟體、網路釣魚詐騙行為,以及勒索軟體攻擊等,卻往往對潛伏於週遭的危機視而不見。

內部資安威脅的普遍程度超乎許多人的想像。根據估計,在所有網路攻擊中,具存取權限者所發動的攻擊就佔了 60%。再者,內部威脅經常是引發外部威脅的禍首。沒有仔細檢查、員工疏失,甚或是惡意行為,這些全都會讓組織暴露在極大的資安風險中。讓員工犯下惡意行為的理由不勝枚舉,箇中緣故可能是對同事或雇主懷恨在心,因而發起攻擊。惡意行為難以預測,解決內部威脅問題自然不容易,而且,稍有不慎便容易擦槍走火。該如何處理這個問題,其實並沒有定論,只能斟酌各種因素,設法找出恰當的解決方式。為協助 IT 團隊防範惡意 (或單純能力不足的) 內部威脅引發安全危機,我們將探討幾項最切實可行的建議。

主動監控有助防範

自家員工列在組織的「威脅記錄」上,這種情況似乎頗不尋常。再者,奉行監控文化的公司容易令員工反感。若過度追蹤往返電子郵件、搜尋瀏覽記錄及裝置記錄,有時充其量不過遭嫌「疑神疑鬼」,但在最糟糕的情況下,有可能因此將成功企業視若磐石的信任基礎消磨殆盡。即便如此,要讓組織免受內部威脅之苦,往往仍需在適度的前提下主動對使用者進行活動監控,以利密切留意任何奇怪或不尋常的行為。

然而,主動監控不見得就得窺伺員工的郵件。反之,您可以運用既有的網路及效能監控工具,妥善維持正常行為及資源使用情形的基準,一旦事情可能出現差錯的時候,您也能夠收到通知。

別讓業務資料落入有心人之手。下載這份免費電子書。

IT 團隊該留意什麼?

IT 資安團隊應隨時注意任何不尋常的下載與檔案傳輸活動 (下文會深入討論這一點)。監控對象若是有權存取敏感企業資訊的使用者,這一點更是格外重要。使用者的活動或資源使用量若出現顯著激增的情形,也有可能是惡意活動正在發生的警訊。使用者活動之所以會增加,有時確實有合理的理由,但也可能象徵著更需要留意的問題。有些使用者可能會在家中完成專案,在這種情況下,不應貿然認定這是可疑行為,而有些使用者的工作確實也需要大量使用 GPU 或 CPU。儘管如此,若有員工的活動及資源使用量驟然激增,再加上出現可疑活動,就有密切注意的必要了。

舉例來說,若行銷團隊的某位成員平常負責處理社交媒體相關事務以及安排活動時間,然而,此人所處理的工作突然間佔用了 100% 的 GPU,而且一週七天,每天 24 小時持續如此,其舉動就有可疑之處,也可能代表此人所用的電腦已經遭到入侵了。若使用網路監控工具設定資源使用量基準,就能密切留意異常使用情形,甚至能夠針對超過特定使用量臨界值的情形設定自動警示功能。

免費監控內部資源與雲端資源。下載 WhatsUp Gold

可靠的活動監控方法能夠適時協調監控功能與迅速反應能力,讓 IT 團隊能夠快速輕鬆地終止 IP 連線、關閉帳戶,以及停止檔案傳輸,以利偵測及預防內部安全漏洞。NetFlow 監控功能也能提醒您留意異常活動。其他重要的活動監控措施包括:一旦發現員工確實在圖謀內部攻擊行為,審慎錄影/錄音以及記錄相關事件。倘若沒有對員工不利的證據,組織就無法向法院提告。

另一點也十分重要:即使員工已經離職,他們所持有的認證仍有可能對公司造成嚴重威脅。資安團隊一定要記得凍結舊帳戶並刪除舊認證,避免讓任何惡意活動找到得逞的機會。遭到資遣或解雇的員工有可能會懷恨在心,因而利用自己的認證攻擊公司系統,此外,也有可能單純只是這類員工的認證遭有心人盜用,如果離職員工曾經將同一組密碼用於多個地方,尤其容易發生這種情形。

管理式檔案傳輸、電子郵件以及安全資料傳輸

設定基準並監控使用情形能幫助您揪出內部威脅或遭到入侵的電腦,但最常發生的內部威脅類型其實純粹是懶惰和疏忽。

在時下的企業環境中,許多業務是在公司以外進行的,不受公司防火牆的束縛,而且,員工往往必須將大量敏感資料傳輸給不受制於公司防火牆的第三方。若未提供安全簡易的管道讓員工傳輸這類資料,員工通常會自己想辦法解決,而他們的解決之道往往就是不安全的電子郵件,更糟的則是使用未經批准的檔案共用應用程式。DropBox 和 Google Drive 就是使用頻率非常高的工具。

若採用安全可靠的管理式檔案傳輸 (Managed File Transfer, MFT) 解決方案,組織就有把握確定收到敏感資料的一定是經過授權的收受方,同時也能讓 IT 團隊發揮監控及擷取所有檔案傳輸活動的能力。選擇對外分享資料所用的 MFT 解決方案時,資安團隊必須斟酌其他任何功能需求,包括帳戶存取權限、報告和警示、防毒整合以及任何其他安全機制。

Ipswitch 的安全管理式檔案傳輸有何助益

前文說明得十分清楚,內部威脅是現代企業資安團隊必須正視的重要課題。若能充分理解內部威脅可能引發的風險,IT 團隊就能運用可大幅減輕風險的解決方案做好防備。Ipswitch 的安全檔案傳輸解決方案可以提供簡單易用的傳輸方式,讓使用者能夠捨棄風險較高的傳輸方法,也能在傳輸受保護資料的過程中保障安全及遵循法規。共用安全資料夾是相當方便易用的工具,能夠取代消費級的檔案共用服務。MOVEit Client可供使用者透過 Mac 和 Windows 桌上型電腦進行安全傳輸。MOVEit Ad-Hoc 讓使用者能夠運用 Microsoft Outlook 或網頁瀏覽器安全又輕鬆地傳輸檔案。MOVEit Mobile 適用於在 iOS 或 Android 裝置上進行存取。

Microsoft + Ipswitch 我們的聯合價值主張

Ipswitch 和 Microsoft 將延續彼此在歐洲、中東、非洲地區成功的合作經 驗,積極擴大雙方的共同銷售 ISV 合作業務,以利進一步提升 MOVEit® 安 全檔案傳輸與 Microsoft 的商機。

若您同時身兼 Microsoft 合作夥伴及 Ipswitch 合作夥伴兩種身分,這項 聯盟措施將協助您為客戶提供最優秀的解決方案組合,您也可望因此提 高經銷規模,進一步提升事業價值。

以下概述 Microsoft 與 Ipswitch 聯合價值主張:

• MOVEit® 能夠傳輸大量檔案,甚至超越最嚴格的資安標準。

• 密切整合 Microsoft 0365,帶給使用者熟悉的業務工作流程 與使用者介面。

• 部署選項十分靈活,包括可在 Azure 部署 SaaS 和 IaaS, 能發揮高可用性、備援能力以及永續發展能力。

• MOVEit® 配合以下 Microsoft 上市主題:GDPR、安全與法 遵、智慧桌面 (Modern Desktop)、數位轉型,以及協同 作業。

如需詳細資訊,請參閱以下資源:

Ipswitch 與 Microsoft 聯合協作資料

通訊檔案傳輸與資料安全電子書 (Microsoft MVP 提供)

英國航空違反 GDPR 了嗎?

全球公司都在焦急等待,想知道誰會成為 GDPR 監管規定新制殺雞儆猴的對象。按照 GDPR 規定,凡違反監管規定的事業體,除須繳納巨額罰金外,也難逃民事訴訟。

GDPR 自 2018 年 5 月 25 日起開始實施,而在此數月甚至數年之前,許多公司行號早已開始準備因應各項新規定的施行。目前甚至仍有許多企業努力迎頭趕上,以免因資料外洩或未通過稽核而受罰。然而,目前仍有許多攸關 GDPR 的細節懸而未決。即便如此,如有任何事業體需要操作及處理歐盟居民的個人資料,仍有義務遵守 GDPR 法規。

哪一家公司將成為 GDPR 規定殺雞儆猴的對象?

眾所皆知,出現第一批違反 GDPR 規定的公司行號並進行相關調查及法律訴訟之後,才能斷定 GDPR 的施行成效。現在似乎已經出現了第一間違反 GDPR 規定的知名公司:英國航空公司 (British Airways)。

第一間違反 GDPR 規定並成為媒體關注焦點的知名公司出自航空業,這一點不足為奇。多年來,航空業的網路資安始終為人詬病。眾所皆知,航空業多半靠微薄的淨利率苦苦經營,因此,資料安全防護向來不是高階主管在乎的第一要務。

據航空業前員工及資安專業人員所述,有些航空公司直到現在仍在使用已經用了 30 多年的系統,也運用這些系統連上更新穎的網路服務。航空業的問題癥結仍然在於舊型系統 (尤其是用於處理客戶個人資料的系統)。

航空業最重視的始終是盈虧,但現在這個產業也不得不迫於時勢所趨,必須更加重視資安相關議題。

力求遵循 GDPR 規定。下載這份免費指南。

歐盟會制裁違反 GDPR 規定的英國航空嗎?

就在這個月,英國航空發生了大規模資料外洩事故,波及 380,000 筆交易。外洩的資料包括在 2018 年 8 月至 9 月間曾經與該航空公司交易之客戶的詳細財務資訊。

施行 GDPR 的理由正是要厲行資料外洩罰則。舉凡經營據點設於歐盟境內的公司,現在無不面臨艱難處境,一旦個人資料出現漏洞,一切作為 (或無作為) 都將接受調查。倘若公司違反 GDPR 規定,最高罰金可能高達年營業額的 4%,代價可謂慘重,甚至可能令公司陷入財務危機。對 BA 這樣的大型公司而言,這樣的懲處也許不算高,但中小型企業一旦違反規定,恐怕就在劫難逃了。

由於 BA 在發生外洩事故後即刻通報,甚至在報紙上刊登廣告,設法提高這個問題的曝光率。企業能採取這樣的反應措施相當值得稱許,而這著棋或許能夠阻止政府官員依據 GDPR 展開調查。不過,事實證明 BA 確實清楚自家公司的網頁應用程式早在多年前就出現了漏洞。光憑這一點,確實就有必要展開徹底調查,也應該這麼做。最起碼,應該要趁著這個機會證明 GDPR 的施行成效

相關文章:詳細解讀 GDPR 的資料保護原則,第二部分:目的限制與資料最小化

英國航空能躲過嚴格審查嗎?

大多數公司行號所能做的,就是密切關注 BA 是否會成為 GDPR 殺雞儆猴的對象。截至目前為止,是否會發生此事、會發生什麼情況,一切仍是未知數。

重點在於 BA 並不是唯一一家發生這類資料外洩事故的企業。達美航空 (Delta Airlines) 在今年 4 月份就發生過類似的資料外洩事故。TicketMaster UK 也一樣。若 GDPR 在當時已經生效,達美航空和 TicketMaster UK 或許早已因為違反 GDPR 而受罰。

原來,之所以會發生這類資料外洩事故,往往是因為使用第三方指令碼執行收集付款資訊的網站電子商務活動。依據過去調查網頁盜刷讀卡機類似案件所掌握的證據,這種情況的罪魁禍首似乎指向 Magecart 集團的駭客。

過去一段時間,RiskIQ 經常針對這類供應鏈攻擊手法的使用情形提出相關報告。您可以參閱他們所做的 BA 事故完整分析

公司行號應不應該在自家網站使用第三方指令碼?

在網站上使用第三方程式碼、指令碼、工具或外掛程式有助於提升開發速度。這是很普遍的做法,也能發揮許多優點,不過,若要實作任何第三方程式碼 (尤其是用於需要處理及操作個人資料的網站時),公司行號應格外謹慎。使用第三方程式碼讓網頁開發人員不需要自行編寫及測試程式碼,因此大大減輕其工作負擔。但是,許多公司會使用久未更新 (甚至不再受到支援) 的第三方指令碼和外掛程式。

您該不該全面避用第三方指令碼?該怎麼做才好,其實取決於應用方式,不過,由於這類工具和指令碼引發的供應鏈攻擊事件越來越多,自然有必要額外確認這類指令碼的安全程度。具體而言,免費的開放原始碼工具雖然很好,也有助於控制預算,但倘若您要開發需處理個人資料的網站,最好還是改與會定期更新程式碼及外掛程式的廠商合作。

目前我們只能觀察主管機關會如何處理 BA 資料外洩事故,但那並不表示我們不能趁著此時此刻做好安全防護措施。

銀行與金融服務在安全與法規遵循方面的注意事項

安全的檔案傳輸管理

安全的檔案傳輸管理 (Secure Managed File Transfer) 系統能夠以安全、準確、精密 控管並詳實記錄的方式進行外部資料傳輸,因此有助於因應現階段及未來可能會 採行的各種法律及規管措施。此類系統讓金融機構得以在傳送資料時收到回條, 還能運用廣泛的追蹤與稽核功能遵守 GLB、PCI DSS、SOX、GDPR 及其他州、 省或全國法規。

評估安全的檔案傳輸管理系統或替代方案時,您應該從機密性、完整性、可用性 以及稽核這四種類別的功來深入瞭解這些服務的效能優劣。

  1. 機密性能夠確保唯有獲得授權的人員能夠在經過核准的前提下使用資訊。確保機 密性的基礎在於驗證登入認證資訊,以及運用定期失效的帳戶及密碼管理等功能 來施行有力的密碼政策。存取控制包括要求所有連線一律支援採用 256 位元 AES SSL 加密與 TLS。而這種存取控制等級應強制套用於所有連上貴組織網路基礎架 構的用戶端。
  2. 完整性是指確保能夠運用完整的 SHA 支援來持續提供所有正確的資料,避免出 現漏洞。安全的加密資料傳輸是確保業務永續發展的重要關鍵。安全雜湊演算法 能夠確保檔案不會在傳輸過程中出現漏洞,也能確保原始檔案和目的地檔案完全 一致。不可否認性技術利用加入數位憑證管理的方式進行安全傳輸與資料加密, 讓資料安全性達到現階段最高的等級。
  3. 可用性可以透過負載平衡和叢集架構達成,這種方式支援自動容錯移轉及集中儲 存組態資料,因此能夠將資料出現漏洞的機率降到最低。這種方式也有助於防範 分散式的拒絕服務攻擊。若在解決方案中加入檢查點重新啟動及加強功能,藉以 克服硬體故障或網際網路連線中斷等問題,將同樣有助於確保可用性。
  4. 稽核能夠提供完整的記錄功能及防竄改證據安全措施,因此能夠保障記錄檔的完整性。基於技術、安全及其他稽核目的,應將所有用戶端/伺服器的互動與管理 措施完整記錄下來。

Ipswitch® MOVEit 的法規遵循功能

MOVEit® 是一種安全的檔案傳輸管理系統,能夠讓您在與外界交換敏感性資料時進行管 理、檢視、保護以及控制,徹底遵守資料保護方面的規範。下表說明 MOVEit 如何一一因應遵守資料保護法規的七項核心最佳實務。

安全規定

MOVEit 控制

法規遵循

MOVEit 有助於保障檔案傳輸安全、全程保護資料,以及將傳輸記錄 妥善保存在防竄改的稽核記錄中,直到法律規定的期限結束之後再進行安全銷毀。

通訊安全

MOVEit 可用於集中查看、控制以及事先授權所有檔案傳輸,還能確 保傳輸方面的加密、記錄追蹤與不可否認性,包括重大事件的安全稽 核記錄。MOVEit 的架構基礎是整合現有的安全性基礎架構、政策與 應用程式,確保 DMZ 中沒有任何未加密的資料,並且完全不需要透過外部存取。

資訊安全政策

MOVEit 無時無刻不加密檔案,因此具有不可否認性,而且能夠進行 檔案完整性檢查。Ipswitch 提供電子郵件、網路、行動存取以及桌上 型用戶端,只要搭配 MOVEit 就能讓所有使用者進行符合規範的檔案傳輸。

存取控制

MOVEit 提供多樣化的驗證機制 (包括整合現有系統),還有豐富的使 用者存取管理支援功能 (包括黑名單和白名單),同時也提供許多工具,能夠協助管理員根據安全政策選擇最適當的設定。

密碼演算法

MOVEit 採用強大的密碼演算法機制和安全選項、加密和解密金鑰散 佈與保護措施,和國際法規的要求一致。

實體與環境安全

MOVEit 能夠在實行方面發揮彈性,有助於確保遵守當地的實體安全 規定。

業務永續發展安全

MOVEit 能夠在發生故障、災難或中斷問題時全程保障檔案傳輸各階 段的機密性、完整性以及可用性。Ipswitch Failover 能夠確保檔案傳 輸處理不中斷。

本文完整內容請參閱 WP_FT_Security-and-Compliance-Finance_TW.pdf

Ipswitch 本季發佈多項產品的更新程式2018Q4

Ipswitch 發佈多項產品的更新程式,更新的產品如下包括:

MOVEit 2018 Service Pack 2 – 2018 年 10 月 30 日發佈:

  • 增加新的 MOVEit 傳輸即時檢視監控工具 (MOVEit Transfer Live View Monitor),能即時顯示進行中以及最近完成的檔案傳輸活動與指標
  • 增加新的 MOVEit 自動作業資訊主頁 (MOVEit Automation Dashboard),能顯示最近的活動與系統指標
  • 支援 Azure SQL 資料庫
  • 可供稽核的免責聲明,內容記錄由客戶界定的原則 (需勾選核取方塊並簽名同意)
  • 增加 REST API 端點,以及其他錯誤與安全性修正程式

WhatsUp Gold 2018 Service Pack 3 – 2018 年 10 月 26 日發佈:

  • 增加新的應用程式效能監控 (Application Performance Monitoring, APM) 重疊顯示功能,看一眼就能清楚掌握監控中應用程式的狀態
  • 增加新的裝置卡 APM 介面,按一下就能進入 APM 資訊主頁及使用控制功能
  • 增加新的裝置卡 (Device Card),能顯示網路流量監控 (Network Traffic Monitoring, NTA) 資訊,其中包括流量最大的 5 項程式與對話,另外也提供按一下就能使用 NTA 的功能
  • 加強控制功能,更有助於在探索階段指定每一個裝置介面/連接埠的監控程式
  • 重新設計裝置群組迷你狀態 (Device Group Mini Status) 的顯示功能,以利增進使用便利性
  • 支援 Cisco Meraki 防火牆與 Cisco Meraki Security Appliance
  • 能直接在管理主控台中執行可執行檔
  • 支援建立 OpsGenie 事件

WS_FTP Pro 12.7 – 2018 年 11 月 16 日發佈:

  • 更新 Visual Studio 2017
  • 支援 OpenSSL 1.0.2n
  • Zlib 取代 Info-Zip
  • 其他錯誤與安全性修正程式

凡持有效服務協議的客戶,皆可自 Ipswitch 社群下載以上所有更新程式進行免費升級。

如對於以上任何發佈資訊或升級方式有任何疑問,請與我們聯絡,我們十分樂意提供協助。

GDPR 的資料保護原則,第四部分:完整性、機密性與責任歸屬

歐盟開始實施象徵其資料保護規範重要里程碑的一般資料保護規範 (General Data Protection Regulation, GDPR),迄今已歷經數個月的時間。也就是說,從現在起,全球舉凡需收集歐盟居民個人資料的公司行號,在處理這些個人資料時皆須更加謹慎,必須保障這類資訊的安全與隱私。違反相關規範者恐將面臨巨額罰款及重大懲處,目前已有數家公司行號受罰。不過,仍有部分公司尚未釐清這項最新立法規範。事實上,依據一項針對歐盟七國所做的新聞網站意見調查結果,自實施 GDPR 以來,同意橫幅的增加比例僅為 16%,同時,每個網頁的第三方 Cookie 數量下降了 22%。

數字看似不少,但相較於 5 月 26 日如洪水般猛烈的「我們已更新條款」電子郵件攻勢,這樣的結果並不如預期。這代表什麼?

這種現象意味著許多公司還不清楚 GDPR 規範,同時也表示現在我們該繼續探討延宕許久但未曾遺忘的「詳細解讀 GDPR 的資料保護原則」系列文章了。

在本系列連載文章中,我們將探討七項資料保護原則、這些原則與 GDPR 之間的關係,以及如何運用這些原則保障貴公司的資料並確保確實遵守 GDPR 與其他監管準則。

本系列的第一篇文章探討了 GDPR 的基礎概念:何謂 GDPR、GDPR 在規範什麼、GDPR 會對哪些人造成影響等等,同時,我們也探討了第一項資料保護原則,那就是有權要求公平、合法且公開透明的資料處理流程。您猜對了!第二篇文章探討的是第二項和第三項原則:目的限制與資料減縮。第三篇文章闡明了第四項和第五項原則:準確性及儲存限制。

現在,我們接續上一次的內容,繼續討論第六項原則:完整性與機密性,以及第七項原則:責任歸屬。

第六項原則:完整性與機密性

在 GDPR 堅守的七大原則當中,第六項原則是相當重要的一項,理由非常充分,即一切都是為了安全。

第六項原則載明資料「處理方式必須能夠適度保障個人資料的安全,包括必須採行相關技術或組織措施,盡力防範未經授權或不合法的處理方式,也須避免不慎遺失、摧毀或損壞資料。」

若以白話文解釋,這段法律條文的意思是:企業組織處理個人身分識別資訊 (Personally Identifiable Information, PII) 的方式,必須能夠防範資料遭竊、遭摧毀或不慎遺失等事故。所謂「採行相關技術或組織措施」的定義稍顯模糊,GDPR 法規撰寫人有可能是刻意避免釐清強制規定的安全防護措施,因為相關技術和最佳實務會不斷變化。

對我而言,這項規定似乎是在要求大家採行可靠完善的安全防護最佳實務,例如加密傳輸中或閒置中的資料、使用兩階段驗證,以及使用防篡改記錄技術追蹤存取資料的人員、時間和方法。企業組織過去若習慣採用無安全防護措施的 S3 Buckets 技術留存 PII,這項規定可能看似相當嚴苛,不過,實際改革起來並不至於大費周章,無論是否需要遵守 GDPR 規範,我都建議各企業採行這項措施。

第七項原則:責任歸屬

第六項原則是唯一明確著重於安全規範的原則,而最後一項原則強調的重點則在人人真正在乎的問題:後果。

第七項原則簡潔明了地載明「資料控管者應承擔遵循 [前幾項原則] 的責任並具備這種能力。」

未能確實遵循前六項原則的後果恐怕相當嚴重,最高可罰款 2400 萬美元或是全球年營收的 4%,以其中金額較高者為準。凡需收集、儲存或處理歐盟居民個人資料的企業組織,皆須遵循相關規範。無論貴公司的總部設於何處,概無例外。即便公司行號在歐盟地區並未設立實際據點,仍須遵循 GDPR 規範。

不過,什麼叫做遵循規範?該如何展現您確實是遵循規範的優良企業?GDPR 並未說明企業該如何證明確實遵循了規範,這是因為產業類型不同、需要處理的資料不同,以及組織規模大小不同,所謂遵循規範的定義就大相逕庭。不過,無論組織規模是大是小,您一定要做好隨時接受稽核的準備。建議採行普遍的最佳實務,例如記錄安全事件及 PII 存取情形,以及進行內部稽核。

再者,建議進行業務風險評估,這項評估可以協助您發現任何漏洞,同時也能評估您是否需要加強或實施具體的安全管制措施。

管理式檔案傳輸對於協助貴公司遵循規範有何助益

如前所述,只要貴公司需收集、儲存、處理或傳輸歐盟居民的個人資料,就必須遵循「一般資料保護規範」(GDPR)。在這千鈞一髮的時刻,最佳措施就是保證個人資料傳輸過程中所用的系統、使用者驗證以及加密技術全數安全無虞,而且確實符合 GDPR 的規定。

像 MOVEit 這般可靠的管理式檔案傳輸解決方案,可以運用許多方式協助貴公司遵循 GDPR。

  • 自動檢查檔案完整性 (Automatic File Integrity Checking) 能夠檢查檔案是否遭到竄改,從而避免導致資料不正確的重大錯誤,同時也能避免任何人不當存取資料。
  • 加密傳輸中及閒置中的資料。MOVEit 採傳輸及儲存加密技術並行方式,一方面運用 SSL 或 SSH 加密傳輸中的檔案,另一方面則運用 FIPS 140-2 驗證合格的 256 位元 AES 加密磁碟中的閒置檔案。即使發生資料外洩事故,這些步驟仍然能夠保障檔案及您所處理的 PII 安全無虞。
  • 詳細的防篡改記錄功能,可以詳實記錄檔案傳輸活動,讓您確切掌握存取資料的人員、時間、地點及方式。如此一來,即使資料遭到篡改,您仍然能夠掌控大局。
  • 內建資料不可否認機制,這項機制可讓您證明上傳、下載了某個特定檔案的人員,也能證明上傳及下載的檔案完全一致,使您能夠查證每一位處理過某個檔案的使用者,並且提供可靠的存取記錄。

本文轉載自ipswitch官方網站部落格

GDPR 的資料保護原則,第三部分:準確度與儲存限制

今年五月是個很有意思的月份。Google 和 Facebook 雙雙面臨 88 億美元的訴訟;Kanye West 宣佈支持 Donald Trump;而幾乎所有人的收件匣都擠滿了「我們已更新隱私權聲明」電子郵件。這一切代表什麼?癥結點是什麼?當然,這意味著我們也必須遵守 GDPR。Kanye 那件事毫不相關,所以不算在內。

一般資料保護規範 (General Data Protection Regulation, GDPR) 自 2018 年 5 月 25 日起正式生效。也就是說,從現在起,全球舉凡需收集歐盟居民個人資料的公司行號,在處理這些個人資料時皆須更加謹慎,必須保障這類資訊的安全與隱私。同時,這也表示現在該繼續探討系列文章「詳細解讀 GDPR 的資料保護原則」了。

請務必遵守 GDPR。下載這份免費指南。

在本系列連載文章中,我們將探討這七項資料保護原則、這些原則與 GDPR 之間的關係,以及如何運用這些原則保障貴公司的資料並確實遵守 GDPR 與其他監管準則。

第一篇文章中,我們介紹了 GDPR 的基本概念,包括何謂 GDPR、GDPR 的重點,以及 GDPR 所影響的對象;此外,我們也探討了資料保護的第一條原則:有權要求公平、合法且公開透明的資料處理流程。不出您所料,我們的第二篇文章已經探討過第二條和第三條原則:目的限制與資料最小化。

所以,現在就接續之前的內容,繼續探討第四條和第五條原則:準確度與儲存限制。

個人資料必須準確無誤

依據 GDPR 的第四條原則,舉凡所收集或處理的個人資料,皆須「準確無誤,且必須酌情保持更新。」GDPR 進一步規定以資料處理目的為前提,「必須在合理範圍內盡一切可能立即刪除或更正不準確的個人資料,不得延誤」。

這究竟是什麼意思?簡而言之:您不能保留無用資料,而且有責任確保資料的準確度與時效性。如果資料不準確或不符合時效,就必須刪除。舉例來說,假設您忙著處理一項政治宣傳活動,而您所用的資料是上一次大選期間得到的資料。第四條原則規定您有責任先確認自己使用的資料準確無誤且符合時效,之後才能將資料寄給選民。

這項規定牽涉到資料當事人更正及刪除資料的權利,而這兩項權利都是 GDPR 的重要條款。依據更正權的規定,個人有權要求更正不正確的資訊,也有權要求補齊不完整的資訊。依據刪除權的規定,個人有權要求刪除其資料,而且您應該及時進行刪除。

GDPR 並未深入規範資料準確度原則。具體而言,這條原則並未確切列舉出何謂「盡一切可能」保障準確度。不過,有一點是肯定的:若不更新或刪除已經過時的無用資料,您有可能會面臨重罰,這就關係到下一條原則。

您必須針對個人資料的儲存設限 (亦即不可保留不再需要的資料!)

我在探討第三條原則時曾經提過,保留一切資料以備不時之需是違反 GDPR 的行為,還記得嗎?規定制訂者太重視這條規定了,所以整份資料保護原則皆以這條規定為準據:即儲存限制原則。

依據這條原則,個人資料「不得以能夠辨別資料當事人身分的形式進行保存,且保存期限不可超過個人資料處理目的所需時間」。若要長時間儲存個人資料,必須證明該項資料「經處理後純粹做為歸檔之用,其目的是以公共利益、科學或歷史研究或統計為準據」。

基本上,就像之前提過的,唯有在依據資料收集目的完成作業所需的期間內,您才能保留資料。資料可用期限也許更長,但您不能繼續持有,也不能將資料重複運用於其他用途 (或將資料出售給他人)。這樣的規定有助於預防諸如 Facebook/Cambridge Analytica 所發生的醜聞,同時這也是 GDPR 所賦予的基本權利。

您必須備妥規定留存期限的政策,以及該項政策的文件記錄規定 (為進行法遵稽查所需),才算遵守這項原則。此外,您還要經常檢查已經過時的資料,適時刪除已經不再需要的資料。

管理式檔案傳輸對於企業遵守規定的助益

如前所述,若貴公司需收集、儲存、處理或傳輸歐盟居民的個人資料,就必須遵守一般資料保護規範 (GDPR)。有鑑於此,最佳做法就是保證個人資料傳輸流程所用的系統、使用者驗證及加密技術全數安全無虞且遵守 GDPR。

像 MOVEit 如此可靠的管理式檔案傳輸解決方案,能夠透過許多方式協助貴公司遵守 GDPR。

MOVEit 可以讓您運用自動的檔案完整性檢查流程,以利證明檔案未經竄改,避免出現嚴重錯誤而導致資料不準確。

同理可證,您可以運用 MOVEit 的內建排程工具安排一般資料傳輸前及傳輸後作業,例如確認資料的準確度和效力,以及檢查並遵守留存期間。

MOVEit 安全管理式檔案傳輸也具備傳輸及閒置資料加密功能,不但能與既有資安系統整合,也能提供詳細的檔案傳輸活動記錄。

本文轉載自ipswitch官方網站部落格