中小企資源一般都資源有限,在花費在 IT 甚至是網絡保安的部份都比較緊絀,在缺乏人手或資源的情況下,很容易就犯下了以下 8 件網絡安全的錯誤。
1. 密碼寫在 Memo 紙上
一件最常件 (大限於中小企) 的錯誤,是一條能取得公司內部資源的密碼,竟然寫在一張 Memo 紙上,並貼在顯示器前,所有人經過都能看到。這些密碼可能是網站登入、會計系統甚至是管理客戶資料的數據庫等,各式各樣都有可能,而這種粗心大意往往導致資料被盜或金錢損失的結果。
解決方法:確保每台公司提供的電腦或流動裝置都受到獨一無二的密碼保護,使用密碼管理工具避免密碼結構過弱、重用甚至忘記密碼,Kaspersky 的 Small Office Security 內附密碼管理員功能,無需額外添購其他方案。
2. 分享密碼
另一個關於密碼的重要事項,就要是保密,員工有時候因為貪方便,會與其他同事分享密碼以取得權限,這樣導致權限管理困難,因為即使移除已離職員工的權限,由於他/她知道仍然在職員工的密碼,仍然難阻對方存取公司資料。
解決方法:向員工清楚說明密碼的重要性,可以的話使用雙重認證措施。
3. 過於簡單的密碼
密碼的構成過於簡單,對黑客而言等同沒有密碼,如果你的密碼是「password123」,即使是家庭電腦也能用約 6 秒便破解,「 MyPaSsWoRd123」則大約 2 日時間,組合越複雜需要時間越長,當破解需要 100 甚至 1000 年時,網絡罪犯也沒有這種空餘時間,便會捨難取易離你而去。
解決方法:每項服務都使用不同的密碼,盡可能使用雙重認證登入。
4. 缺乏備份
重要的資料、檔案、紀錄等數據,無論是儲存在個人電腦、伺服器或其他地方,都需要有多一個備份的副本儲存在另一個位置,這樣即使硬盤損毀、侵服器遭入侵,資料都不會離你而去,此外,網站同樣需要定期備份。
解決方法:定期備份資料及更新軟件和韌體,減少系統和軟件的漏洞,Kaspersky 的 Small Office Security 同樣具備自動備份的工具。
5. 被遺忘的存取權限
有員工離職是正常及經常發生的事,而該員工離開後,其登入的權限如果被遺忘而忽略,該員工離職後便仍有能力存取公司的資源,嚴重可能會進行破壞,因此對於離職員工的存取權限,必需要重視並進行處理。
解決方法:無論是員工離職、調職或解僱,其存取權限都應該立即按需要轉移或解除。
6. 默認設定
使用密認設引致保安事故定最常見的案例發生在路由器上,無論是由服務供應商或自行安裝,都有可能因為能正常上網而忘記更改默認的設定,例如預設的管理員登入密碼,如果一直使用默認的密碼,網絡等於大開中門,黑客可以隨意自由進出。
解決方案:認真地設定路由器,至少也需要更改管理員名稱及密碼,確保網絡使用 WPA2 加密並關閉路由器的遠端管理功能,定期檢查韌體更新。
7. 缺乏防護方案保護
可能是資源有限,也可能是心存僥倖,甚至是誤以為自己的裝置很安全,種種理由讓裝置處於沒有保護的環境下,當「意外」發生時便後悔莫及,隨時導致災難性的後果。
解決方法:安裝及設定強力而可靠的防護方案,例如 Kaspersky 的 Small Office Security,這方案專為中小企而設,避免用戶掉入釣魚網絡阱陷導至登入或其他資料被盜。
8. 員工缺乏安全認知
即使僱住或 IT 人員擁有高度的安全意識,如果一般使用者 (即是其他員工) 沒有相關的警覺,缺乏基本的知識去分辨危險,同樣有機會危害到公司的網絡安全。
解決方法:培訓員工有關網絡安全知識,最常見例如:不要打開不明來歷的電郵附件、點擊連結前先檢查清楚、敏感資料使用可靠的雙重認證、不要從可疑或非法網站下載軟件等等,知識需然簡單,但在網絡保安上卻扮演重要的角色。
