177 5 促資訊保安 事實上,在現實環境裡,當用戶或員工不小心打開了一則「釣魚」電郵,並按照指示, 不問究竟,馬上「更新」個人的資訊或密碼,此舉隨即成為黑客據此入侵企業網絡系統 之門。面對這種情況,如今也有一些企業為了嚴防員工「引狼入室」,在網絡保安上, 往往自家向員工發出「釣魚」電郵,以測試員工對此的警惕性,若有員工粗心大意「中 招」,這名員工便需要接受網絡安全的「再培訓」。但畢竟這種做法顯得相當被動,絶非 長治久安之策。很顯然,關鍵而徹底的做法,是要避免參與網絡保安工作的各方持份者 墮入「雙重道德風險」陷阱,並且明確和讓用戶清楚認識到自己在網絡保安上的角色和 責任。這一點,在當前網絡犯罪不僅增量而且作案手法也層出不窮的情況上,顯得尤其 重要,而且更是有效減少或堵塞網絡保安漏洞的「不二之門」! [後文簡介]—〈網絡設使用權限防內鬼〉:美國第五大信用卡發行商 Capital One Financial Corp. 遭「黑客」入侵,盜取了該公司存儲在亞馬遜網絡服務(AWS)的雲 計算服務上逾億信用卡客戶和申請人的個人信息數據,後來被捕的涉嫌「黑客」,竟然 是 AWS 的雲計算服務部門前僱員。本文詳細分析了一個網絡保安弱點—「內鬼」問 題。作者提出,從制度上去防範「內鬼」風險,包括設立適當的使用權限制度,以及 制訂工作合規性的賞罰制度。 原刊《信報財經新聞》2019 年 2 月 25 日;2025 年 6 月重閱修訂
RkJQdWJsaXNoZXIy NDk5Njg=