遵循資料隱私規範,如歐盟的《一般資料保護規則》(GDPR) 和《加州消費者隱私法》(CCPA),需要對遠端員工採取不同的安全措施。請繼續閱讀以了解 Splashtop 五個行之有效的最佳做法,在保有遠端人力的同時,也確保合乎規範。
遠端工作為時勢所趨。近期一份 Gartner 預估數據顯示,到了 2022 年初,將會有 51% 知識工作者採取遠端辦公型態,而且隨著最近 Omicron 變異株肆虐全球,目前實際數字應該更高。
落實合規的難度,也因為遠端工作條件而更上層樓。以《安全雜誌》(Security Magazine) 近期這篇報導為例,文中探討了對北美和歐洲 400 多名 IT 安全從業人員進行 Apricorn「2021 年全球 IT 安全調查」的結果,並聚焦於過去 12 個月遠端工作的安全措施和政策。其中幾項結果精準總結出了遠端工作的風險:
60% 受訪者表示,因應 COVID 而起的遠端工作條件導致組織內部產生了資料安全的問題
38% 受訪者表示資料控制的管理工作極為困難
儘管有資料控制方面的顧慮,仍有近 20% 受訪者坦承,有其他家人使用過他們的工作�裝置。
遠端工作者的資料隱私合規問題,目前還未受到 IT 團隊的重視。《醫療 IT 新知》(Healthcare IT News) 2021 年發表的一篇文章指出,每 10 個 IT 團隊中,只有 2 個團隊表示已提供足夠的工具和資源來支援長期遠端工作的員工。而這類準備不足的情況,導致組織機構面臨違反 GDPR 和 CCPA 等消費者資料隱私法的風險。
不符規範帶來的影響
組織若因未妥善保護消費者個人身分資訊 (PII) 而對消費者造成潛在傷害,一經發覺可能招致鉅額罰款、客戶流失和品牌重創。當然,多數人都記得一些備受矚目的案例,例如歐盟對違反 GDPR 的 Amazon 和 H&M 處以金額分別為 7.46 億歐元和 3,500 萬歐元的罰款。但是短短 3 年內,歐盟已經在歐洲經濟區 (EEA) 和英國 (脫歐後仍採行 GDPR 規定) 開出了 800 多張罰單。
沒錯,小型組織也會面臨罰款。以瑞典醫療服務業者 Capio St. Göran 為例:他們不僅品牌形象受創,還要負擔 290 萬歐元的 GDPR 罰款,而這全是因為某家合作醫院進行了一次稽核。稽核結果顯示,Capio St. Göran 並未採取適當風險評估,也未落實有效存取控制,導致有過多員工都能存取敏感的個人資料。
根據加州的 CCPA,這類執法的適用對象也同樣不分規模大小。根據 2021 年 9 月 TechTarget 一篇文章報導,加州最近對一家汽車轉銷商、一家連鎖雜貨店、一個線上交友平台、一家寵物收容機構處以罰款,但這些單�位都算不上是當代工業的巨頭。
最低要求:若要管理遠端團隊,則須採取數個步驟來調整您的安全原則和做法,才能確保遵循個人資料隱私保護法。
幸好,在 Splashtop 的幫助下,已有成千上萬的組織得以實現遠端辦公。以下提供 Splashtop 五個行之有效的最佳做法,在保有遠端人力的同時,也確保合乎規範。
GDPR 和 CCPA 中所謂的資料合規
GDPR 和 CCPA 都規定各公司要確保個人資訊的隱私和安全。關於涉及個人資料的業務流程,其規劃和制定均須採取資料保護安全措施 (例如,視情況進行假名化或完全匿名化)。控制資料的組織在設計資訊系統時,也必須以隱私為原則。
2018 年頒布的《加州消費者隱私保護法》(CCPA) 第 55 章與 GDPR 同樣將個人資訊定義為識別、涉及、描述、合理能關聯或合理能 (直接或間接) 連結到特定消費者或家庭的資訊,例如真實姓名、別名、郵政地址、唯一個人識別碼、線上識別碼、網際網路通訊協定位址、電子郵件地址、帳戶名稱、社會安全號碼、駕照號碼、車牌號碼、護照號碼或其他類似的識別碼。
無論員工隸屬於什麼組織,在辦公室、遠端或任何其他地點辦公,都適用這些法規;總之,關鍵並不在於員工的工作地點。這類法規的適用條件是受保障的消費者居住在歐盟區、英國或加州即可。(請注意,巴西、南非、南韓、日本等許多其他�國家或地區,也在 2019 至 2021 年間陸續制定了類似法規。)
最佳做法 1:更新網路安全原則以因應「遠端工作」現況
如上所述,許多員工不熟悉資料安全和資料主體隱私問題,並且根本沒有意識到自己的行為可能導致資料洩露,進而暴露了組織必須保護的個人資料。
讓員工了解的最佳辦法,就是制定並分享網路安全原則,指導員工如何確保企業資料安全。好消息是,您的 IT 安全原則可以只是一份簡單的文件,解釋制定理由,並提供全體員工都應遵循的具體安全協定 (採用非技術術語),還要為需要額外協助才能理解的員工提供聯絡窗口 (電子郵件或電話號碼)。
最佳做法 2:培訓員工並確保 IT 可以提供支援
員工往往是網路安全中最脆弱的環節。定期安全培訓有助於讓員工及時掌握最新資訊,了解如何保護組織免遭惡意攻擊。
帳戶和密碼原則:
為所有使用者指派個別登入資訊,並透過高強度密碼和雙重/多重驗證授予存取權限。
資料安全控制:
資料安全控制包括依據最低權限原則規畫的角色存取權限、存取監控、帳戶審查/詳細目錄和日誌記錄。也就是說,所有使用者都擁有最低限度的資料存取權限。
存取控制:
存取控制會管理對資料和系統的電子存取權限,並根據授權層級、知悉必要性的參數、系統存取人員的明確職責劃分來調整。
安全事件應變:
「安全事件應變」程序能幫助組織調查、因應、緩解與通知涉及 Splashtop 服務和資訊資產的事件。
最佳做法 3:確保傳輸中和靜態的資料維持加密狀態
GDPR 第 83 條規定,須保護傳輸中和靜態的個人資料。凡是有人存取 (例如資料從網站伺服器傳輸到使用者裝置時),這份資料就應視為傳輸中。「靜態資料」是指儲存中的資料,例如裝置硬碟或 USB 快閃磁碟上的資料。
要在讓員工遠端工作的同時確實保護資料,有兩個關鍵,就是加密和存取控制。
加密:
Splashtop 對傳輸中和靜態的所有使用者資料進行加密,而且所有使用者連線均使用 TLS 安全建立。在每個連線中所存取的內容一律會透過 256 位元 AES 進行加密。
存取控制:
Splashtop 落實存取控制,以管理對資料和系統的電子存取權。我們是根據授權層級、知悉必要性、系統存取人員的職責劃分來執行存取控制。
有太多企業即使毫無正當業務服務理由,仍會過度收集資料。但是 Splashtop 有意避免這樣的做法;我們「不」收集敏感資料/資訊,能更輕鬆地實現法規要求。我們只會收集、儲存和處理有限的 PII,例如使用者名稱 (電子郵件)、密碼和連線記錄檔 (供客戶檢視、用於故障排除等),且 Splashtop 遵循 GDPR 和 CCPA 準則,不會出售客戶資訊。
最佳做法 4:僅在所屬堆疊中處理特定地點的資料
如果您所屬企業的服務對象為受法規管轄區域內的使用者,最安全的辦法是建立個別管轄區域專屬的資料/技術堆疊。Splashtop 運用的是位於德國的歐盟堆疊,藉此確保歐盟居民相關的資料傳輸全程在歐盟主權範圍內進行 (這是 GDPR 的其中一條嚴格規定)。
最佳做法 5:使用安全遠端存取
遠端工作者通常會使用 VPN 和遠端桌面通訊協定 (RDP) 來存取公務所需的應用程式和資料,導致網路犯罪分子有�機可乘,透過密碼強度偏弱的安全機制和 VPN 漏洞存取公司網路,藉此竊取資訊和資料。
Splashtop 的遠端存取解決方案並未仰賴 VPN,而且採取零信任方法。員工遠端存取辦公室電腦或工作站時,會透過特殊的 Splashtop 連接進入系統。這不是企業網路內的連接。換言之,他們只能在遠端桌面上檢視和處理資料 (如 Word 文件),而資料絕不會傳輸到企業網路外部。IT 安全領先企業透過 Splashtop,還可以選擇啟用或停用檔案傳輸和列印功能。強烈建議使用這些選項以符合規範,但實行 RDP/VPN 策略時不適用這些選項。
Splashtop 遠端存取帶來了更多安全功能,例如裝置驗證、雙重驗證 (2FA)、單一登入 (SSO) 等。VPN 架構沒有這些現代安全措施。
預防勝於治療
只要按照上述最佳做法,採取五個常識性步驟,不必勞心費神就能達到資料隱私法規的要求。遠端工作已為時勢所趨,在遠端工作環境中保護消費者資料的優點遠超過被發現「不合規」的負面影響。
