最近一項調查顯示,由於聖誕及新年假期臨近,香港企業員工花更多時間於網上購物,增加公司資訊科技投資項目的風險。網上購物網站會增加辦公室電腦受垃圾郵件、病毒入侵,及受網路釣魚欺詐等風險,使公司的資訊科技系統變得脆弱,妨礙整體業務增長。
國際資訊系統審計協會(ISACA)最近發表一項「辦公室購物:網上購物與辦公室電腦保安」調查,顯示42%的香港員工在11月及12月間,會透過辦公室電腦,以兩小時或以上進行網上購物。然而,超過一半(54%)受訪者的公司,並沒有向員工講解網上購物網站將為公司資訊科技保安帶來的風險。約六成的受訪公司亦表示,沒有實施任何保安措施,禁止員工在辦公室進行網上購物,而當中超過55%的公司認為,其員工並不完全明白使用辦公室電腦進行網上購物將為公司帶來什麼風險。
ISACA國際副會長任家明指出:「本港企業顯然有必要採取更多措施,向員工講解在辦公室進行網上購物將會為公司帶來的相關風險。我們認為資訊科技保安措施與用戶對風險的認知,在防範資訊科技保安風險上同等重要。明智的資訊科技技資項目、管治及保護是任何企業取得成功的關鍵。鑑於現時環球金融環境轉差,企業對投資項目變得更為小心。正因為如此,企業更需更審慎地保護他們的資訊科技投資項目。」
ISACA同時亦在美國進行一個類似的調查,訪問當地的消費者及ISACA會員。結果與香港的調查相當接近,反映美國企業並不太關注員工在辦公室進行網上購物而導致的風險。
安全使用辦公室電腦進行網上購物提示
向網上購物網站提供辦公室電郵地址,會增加該電腦網絡受網路釣魚欺詐、垃圾郵件及病毒等入侵的風險。ISACA建議員工及資訊科技部門採取以下措施,以減低受垃圾郵件、病毒的入侵,以及不慎下載後門「間諜程序」的機會,防止公司資料外洩。
網上購物用戶應該:
1. 輸入個人資料時,確保網站使用SSL加密裝置。
2. 不要允許網站記下你的用戶名稱或密碼。避免提供公司電郵地址作通訊資料。
3. 完成網上購物後,從電腦上刪除所有小型紀錄檔(cookies)。
4. 不要使用相同的視窗瀏覽與工作相關的網站及網上購物網站。
5. 吸引的免費優惠可能存在風險,因此不要下載免費遊戲、鈴聲、壁紙或動畫至辦公室電腦。
資訊科技部門則應該:
1. 於假日購物時節前夕向員工講解電腦保安,並作定期跟進。
2. 因應員工的背景、態度及對資訊科技的認知,為他們制定相關的電腦保安課程。
3. 進行正式的風險危機評估,並適當地更新可接受使用政策及保安措施。
4. 確保公司更新補丁、實施保安設施,防火牆規則、入侵偵測系統(IDS)特徵檔及垃圾郵件過濾器有定期更新。
5. 監察高流通量或可疑通訊的網絡,並立即處理威脅辦公室網絡安全的風險危機。提醒員工若發現可疑事項,務必向部門報告。
網上購物可令港企陷入資訊安全危機
