之前我提到許多次有關社交網站 (尤其 Facebook) 的議題,社交網站現今已經變成許多組織最大的安全威脅來源,而更大的問題在於社交網站該怎麼管對許多組織來說至今仍是沒有足夠的認知。最簡單的管理方式就是把社交網站當作非業務必要的網站,完全加以封鎖。這種做法在管理面與技術面都存在很大的問題,我在之前的文章已經討論過。事實上要達到完全的封鎖是不實際而且不可能的。舉例來說,以現在流行的手機上網 (透過電信網路,而不是組織的區域網路) 來說,有多少組織可以加以管制,而電腦連結手機上網已經不是甚麼困難的任務。
好吧,或許有很嚴謹的組織可以完全限制員工在上班時間的上網行為,那麼下班後呢?下班時間使用 Facebook 對公司會有甚麼危害?有的,有人利用 Facebook 收集了特定公司的員工 Email 帳號,然後針對這些 Email 帳號進行目標式的釣魚攻擊。這樣的目標式釣魚攻擊,透過假冒的組織網站取得員工的帳號與密碼,其成功率相當高 (接近 50%)。當然,公布使用者的 Email 僅是 Facebook 隱私權保護不足之處的一小角,但是對於組織而言卻可能因此遭受極大的風險。這種問題靠封鎖就可以避免嗎?答案很顯然是否定的。事實上,組織能做也是該做的就是訂定明確的網站使用規範,否則這種無心之過將會一再地出現,而組織也必須一再地在沉痛的經驗中加以學習,甚至因此造成組織莫大的成本。
相關連結:
沒有留言:
張貼留言