远程办公要做好数据安全管理合规

日前，安全复工已成为各企业的“重中之重”，此前，因受新冠肺炎疫情影响，不少公司都在复工后采用远程办公方式。日前，德和衡（上海）律师事务所高级联席合伙人娄鹤在北京举办的企业网络安全合规指南会议上指出，无论是远程连接公司内网，还是依靠远程办公工具软件，远程办公带来的数据安全问题日益凸显。

娄鹤认为，企业进行远程办公或将面临六方面数据安全的风险：一是工作人员缺乏远程办公经验与相关的安全意识；二是使用个人设备或账户来传送敏感的客户信息或商业秘密；三是使用个人电脑的安全隐患，如密码泄露、设备丢失等；四是不安全的网络环境增加了企业内部资源受攻击的风险；五是使用第三方远程办公软件带来的安全隐患；六是遭遇虚假疫情信息的网络攻击。

如今，数据安全对于企业而言至关重要。1月末，有人在网上发现了一个没有密码保护、包含4亿条记录的数据库连接到总部位于纽约的化妆品巨头雅诗兰黛。这令该公司面临危机，被泄露的数据和用户账户将面临网络钓鱼攻击和欺诈活动的威胁。

“当然，雅诗兰黛数据泄露并非个案，由于错误配置、内部泄露等导致数据库泄漏的事件已屡见不鲜。”娄鹤举例，近日，在美国，黑客将垃圾邮件伪装成疾病控制中心的健康警报网络分发的官方警报。然后，告知攻击目标——该中心已经建立了事件管理系统，以协调国内外公共卫生对策，还声称会提供周围区域的感染列表，以此诱骗潜在的受害者点击邮件中嵌入的链接并进入钓鱼页面。此外，黑客还在这一系列电子邮件中，要求应对收件人“仔细阅读所附文件中有关应对冠状病毒传播的安全措施”，并强调上述安全措施的重要性，以促使攻击目标下载恶意PDF。

根据数据安全研究中心波耐蒙研究所（Ponemon Institute）的《中小企业2018年网络安全报告》显示，67%的受调查企业称受到过网络攻击，58%的企业称遭受过数据泄露，其中“雇员或外包商操作不当”构成了60%数据泄露事件的根本原因，第三方过错、外部攻击分别位居第二位、第三位。娄鹤指出，相关数据显示，被黑客潜入攻击的公司支付赎金的比例是70%。

“网络安全事件多发，相较于外部攻击造成的损失，反而是内部问题，如员工培训、组织管理、内控流程、供应商管理等造成的影响更大。此外，很多中小企业高管严重低估了网络数据安全的优先级。”娄鹤指出，随着时代的发展，企业将面临严峻的网络安全挑战，传统安全策略已经跟不上新形势，进行网络安全合规建设，学习和了解网络安全的基础知识和要求已成为企业的刚需。

数据安全问题从来不会孤立出现，特殊时期远程办公中暴露的是公司日常管理、内控方面的问题，必须加以重视。娄鹤建议，一要树立正确的安全观，保护企业的资产安全、客户的商业秘密、合作伙伴的利益，确保业务的连续性、减少经济损失，提升企业品牌、可信度、竞争力，履行法定义务、合同义务，履行企业负责人及安全负责人的法定职责。二要构建企业网络安全体系。数据安全治理不是一套工具组合的产品级解决方案，而是从决策层到技术层，从管理制度到工具支撑，自上而下贯穿整个组织架构的完整链条。各层级之间需要对数据安全治理的目标和宗旨取得共识，确保采取合理和适当的措施，以最有效的方式保护信息资源。