新冠肺炎爆發以來,為減少人與人之間的接觸,遠距上班成為企業採取的主要措施之一,《財富》雜誌更將這次各大企業推動在家工作的情況,形容為「最大的遠距工作實驗」。不過資策會提醒,視訊會議軟體讓企業可以進行遠端會議、工作討論、團隊協作或檔案共享,但同時隱含的資安風險亦不容小覷,尤其當企業透過此類視訊軟體討論或傳輸與公司業務相關的機密資料,一不小心很可能成為駭客覬覦的目標。

資策會資安所針對四大視訊軟體Zoom、Cisco Webex、Microsoft Teams、訊連U會議進行檢測,經檢視從2019年起已被發掘且公布的相關漏洞,Cisco Webex共有三個高風險漏洞、Zoom共有兩個漏洞(一高風險及一中風險)、Microsoft Teams有一個高風險漏洞、訊連U目前尚未有相關弱點被公布。資策會資安所表示,目前這些漏洞皆已被原廠修補,故安裝更新版本即可防範。

從過往發生的漏洞事件來看,視訊會議軟體遭駭客攻擊並遠端執行惡意程式碼後,不僅可能全面接管受害者電腦,甚至造成主機被加密勒索,或造成機敏資料外洩等風險。因此在享受視訊會議軟體帶來之便利性的同時,也需要審慎評估其安全性。

資策會資安所網駭科技研析中心主任田謹維指出,若使用視訊會議軟體進行含有商業秘密或是機敏資料的遠端操作時,可善用視訊軟體提供的「加密」措施加強防範。但田謹維還是建議,高度機密的會議內容、文件,最好還是採取email、電話說明方式進行,安全度相對較高。

此外,也要小心未來將有愈來愈多以視訊會議軟體名義寄發的惡意連結、假網站,都會讓使用者不小心上鉤。田謹維也鼓勵視訊會議軟體廠商,應建立漏洞通報管道或獎勵,以鼓勵白帽駭客協助提早發掘軟體漏洞,避免日後成為Zero-day漏洞,遭受更為嚴重的入侵攻擊,導致商譽受損。

資策會表示,資安問題不僅個人要留心,企業也要動起來。企業端在採用視訊會議軟體時,需要強化相關的資安管控,例如視訊會議軟體漏洞追蹤、員工使用電腦的安全性、連線之加密保護、定期宣導遠距上班相關資安政策、防範社交工程攻擊等。

資策會認為,新冠肺炎疫情可能改變人們部分上班方式,未來遠距上班、視訊會議軟體有機會成為扮演企業轉型的重要角色,在著重上班效率之外,也應思量視訊會議軟體可能存在的資安風險,建立企業等級的資安措施與防範機制,讓效率與安全能夠雙贏。

#資策會 #視訊 #企業 #上班 #會議 #視訊會議 #風險 #資安 #漏洞 #軟體