2014年11月30日 星期日

[專欄] 識別員工BYOD的隱私風險 - 漫談行動裝置的安全與管理

隨著愈來愈多的企業,允許員工攜帶自有的行動裝置(BYOD)上班,並且使用在日常工作之中,一旦這些行動裝置離開了企業環境,企業要如何管控行動裝置上所儲存的大量商業資料,實施有效的安全管理,同時也要避免侵害員工的隱私? 

隨著Apple iOS、Android及Windows手機與平版電腦如雨後春筍般的銷售成長,其中有一項行銷的策略在於廠商讓消費者明白了,購買這些行動裝置不只可以作為生活中的娛樂之用,更可以同時使用於工作之中,創造了使用者在購買時一次滿足的強烈欲望。

企業願意讓員工BYOD並成為工作中的一項工具,主要就是希望透過這些行動裝置的協助,能夠增加更多的工作效率,並且有機會拓展更多業務,而藉由員工自備行動裝置,也可以讓企業降低硬體採購與更新的成本。

另外,使用行動裝置的好處是,員工即使離開了工作場所,還是可以在往返公司的途中來存取工作資料,或是在出差時間,利用它來收發個人電子郵件或瀏覽網頁之用,同時兼顧並保有生活與工作上的多重用途。

行動裝置的安全與隱私風險

但是,無論是公司添購的或是私人擁有的行動裝置,只要是會將它連接至公司網路時,就必須依照公司的資安政策,進行身分驗證,然後賦予適當的權限,以便降低資訊安全的風險。 一般而言,行動裝置可能造成資料外洩的原因,包括遺失裝置、感染惡意程式、未經授權的不當洩露等。

目前在企業內可使用的行動裝置,大致有以下二種情況,第一種是由公司所配發的設備,所以公司有權可以主動進行適當的管控。另一種則是個人擁有的行動裝置,對使用者而言,這些行動裝置是自己購買的,在使用時不必受到公司資訊部門的管轄,也可以拒絕受到不必要的安全管控。 

目前,大多數企業只站在安全管理的角度來進行控管,而忽略了可能會有侵犯個人隱私的情況,舉例來說,如果發生疑似資料外洩的事件,企業可能會要求員工必須交出其使用的行動裝置,以便檢查其中所存取的公司文件、瀏覽記錄與所儲存的資料等,撇開由私人所購買的裝置不看,即便行動裝置是由企業所提供,但是大多數的使用者,仍可能會將它使用在私人用途上,像是瀏覽網站、使用Facebook等社群媒體、下載音樂、影片、應用程式和遊戲等,這些仍是與個人隱私有關的資訊。

BYOD可能造成的隱私問題

根據美國的一項調查指出,使用BYOD的使用者有80%對於企業雇主存取其私有設備上的個人資料感到疑慮,擔心他們自己所在的位置、使用的App、網頁瀏覽記錄和下載的資訊受到不當揭露。 站在企業資訊安全的角度而言,進行安全管控以降低風險當然有其必要性,但卻不能以此就作為犧性員工個人隱私的充分理由。而員工興高采烈地帶著自己的行動裝置,在加入公司的BYOD行列之前,也要想想可能會對自己造成什麼影響。 

根據雲端安全聯盟(CSA)所提出的行動裝置安全指南,提到員工在使用公司所提供的BYOD方案時,應該要先了解以下幾個問題:
  • 公司是否會讀取行動裝置上我的個人資料 • 若需要進行法律相關調查時,對我的行動裝置會造成什麼影響? • 如果我的行動裝置遺失了,將會發生什麼事? 
  • 在遺失行動裝置時,是否可以要求進行完整的資料清除? 
  • 當我採取了BYOD方案,但是在離開公司之後,將會發生什麼事? 
至於針對企業在建立BYOD的政策時,也需要考慮以下的事項:
  • 在什麼情況下,企業需要取得行動裝置的所有權? 
  • 在什麼情況下,行動裝置的資料會被清除?這需要考量當地的法律和法規。 
  • 監控員工的資料與行為,應該合乎員工所面臨風險的比例原則,尤其特別需要考量所儲存的位置資訊。 
  • 可授權進行監控員工的管理人員,應該要被清楚的識別出來並了解其責任。 
  • 所有的監控在實施時,應盡可能的將侵犯行為控制在最小的範圍,並且只獲取最小量的員工資料。
  • 了解在某些案例中,可能也會牽涉到非企業的員工,例如員工的家屬可能也會使用員工的行動裝置。 
  • 行動裝置的資料清除應只限於公司的資料。 
保障行動裝置安全與隱私的做法

為了因應BYOD的需求,同時兼顧企業資訊安全的管理,由廠商所提出的第一代行動裝置管理方案MDM(Mobile Device Management),很快地就受到企業的歡迎。MDM的方案,主要是針對行動裝置本身的安全管理,提供了裝置監控、遠端鎖定、網頁過濾、禁用相機等功能,但相對地也比較難以區隔在使用方面的個人隱私要求。 

為了要同時兼顧工作與個人使用方面的需求,後續推出的應用程式管理MAM (Mobile Application Management)方案,讓存取企業資料的環境與個人在手機上所使用的行為能有所區隔。MAM透過建立虛擬的企業工作區域,讓使用者自帶的行動裝置可以達成公私兩用的彈性做法,對企業來說,獨立的工作區域也可降低資料外洩的風險,但是在隱私方面,雖然可以做到應用程式上的資料區隔,卻也仍然無法避免企業仍可保有追蹤使用者的位置資訊。

對企業來說,能夠保障個人隱私的作法有哪些?以下是有關實施時的參考建議。
  1. 避免不當的位置追蹤:企業導入行動設備管理方案的好處,就是可以即時追縱行動裝置的所在位置,以便可以隨時啟動遠端鎖定、遠端警示和資料刪除等功能,除了GPS之外,當使用者處於建築物內部時,也可以透過所接入的無線網路或3G網路來偵測出所在的地點,換句話說,企業的資訊部門是有能力隨時能夠掌握使用者的行蹤的,因此企業需要明訂在什麼情況之下,基於何種理由和目的,公司可以啟動追蹤功能,並且是否要預先獲得使用者的同意。 

  2. 避免個人資料的遺失:一旦企業需要啟用遠端變更密碼、強制鎖定和刪除時,請先確認會由誰來負責進行授權,並且將會如何進行。如果設定了自動刪除功能,那麼是否僅僅會刪除企業相關的資料和應用程式?是否也提供了復原裝置資料的功能?

  3. 妥善管理連線資訊:除了所在的地點和位置資訊之外,一旦使用私有的行動裝置連結了企業網路,相關的網路活動也有可能受到企業的過濾與監控,在使用者離職之後,這些涉及個人活動有關的資料,請確認是否還會繼續保留?

  4. 避免不當的隱私審查:如果涉及了相關的法律事件,企業是否需要審查使用者自帶的行動裝置,內容將會包括了這台裝置上的網頁瀏覽記錄、下載資料、歌曲、影片、電子郵件內容、聯絡人、社群媒體的活動、通話記錄,甚至是所存放與家人有關的資訊,這些都有可能會被揭露,請評估可能的衝擊與結果。 

  5. 釐清應用程式的安裝限制:針對行動裝置的惡意程式愈來愈多,企業為了降低安全風險,可能會限制員工在行動裝置上任意安裝App,但若是員工私有的行動裝置,員工仍然保有權力可以自己安裝軟體,因此這一部分就需要企業事先與使用者進行溝通,明訂應用程式的安裝要求。

  6. 制定使用政策並實施教育訓練:透過政策明訂的內容,向員工說明以便取得其同意來實施某些安全做法。例如啟用遠端刪除功能、資料加密等,會是比較容易獲得員工尊重與信賴的做法。
最後,建議企業在行動裝置的安全管理方面,盡量以勸導、訓練和警示,代替全面監控員工的作法,換句話說,請千萬不要假安全之名,而行侵犯隱私之實,因為在行動裝置中的個人資料,同樣也是受到個人資訊保護法的保障,若企業因此而違法的話,到最後將會得不償失。(本文刊載於2014年5月號網管人雜誌)

沒有留言: