專家視野：科網新常態 5招更安全

在過去兩年，由於受到新冠肺炎疫情影響，香港經歷了很多轉變，尤其是職場方面已進入「新常態」。資訊科技的應用，特別是網絡和數據安全，在這新常態下變得甚為重要。香港作為世界金融中心的一分子，更有責任去持續學習和更新知識，與時並進。

為減低疫情擴散，香港各大企業和商業機構都實踐不同工作模式。在職權和責任許可的情況之下，職員通常可選擇「在家工作（Work From Home）」、「遙距工作（Remote Working）」或「混合模式（Hybrid）」。

無論是哪一個工作模式，都有一個共通點，就是公司需要為員工提供有效和安全的資訊及通訊工具，讓他們能在公司範圍以外履行職務。一般來說，員工需要透過電郵和視像會議，與客戶和其他部門保持聯絡。較具規模的企業，需要員工連線到其網絡，作數據分享及參與業務上的流程，甚至會透過網上合作軟件，讓團隊處理日常業務或特定的專案。

在保護數據和網絡安全的大前提下，企業在提供資訊和通訊工具時，應具備以下的監控功能：

第一，資訊工具需要有訪問控制（Access Control），以防未授權者入侵。第二，使用密碼時，要使用強化密碼，即是密碼最少要有8個字母（包括大細楷）、數字和特別標點符號，亦需要定時更新，不能使用多於3個月，而且更不能重複。第三，手提電腦軟件需要時常更新，特別是防毒軟件，過期軟件亦不應使用，以降低惡意軟件（Malware）入侵的風險。第四，若員工不需要把資料外傳，應關閉其電腦上所有USB連接埠，減低資料外洩的風險。第五，需要為所有員工的電腦，設置打印（Print out）及屏幕（On screen）水印，以防止截屏（Print Screen）、拍照洩密，以及更方便查出外洩資料的來源。

無論企業的網絡安全工具和計劃有多周全，黑客善於透過釣魚軟件（Phishing email），繞過監視系統，在背後作出破壞。故此，企業在人力資源方面要為員工提供有效的網絡安全培訓。

除了進行培訓，教授一般網絡安全知識之外，為提高員工的警覺性，企業還應定期安排「釣魚襲擊活動」（Phishing Attack Campaign），去測試員工對於不明來歷電郵的反應。企業更應訂下目標，確保員工對於網絡攻擊手法，在認知和防範能力上能不斷提高；目標是要把每一位員工，都能夠成為企業的人力防火牆（Human Firewall），不會落入黑客的陷阱，而變成企業在網絡安全上的弱點。