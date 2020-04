當紅視訊會議軟體Zoom,在美國掀起科技業、學校退用潮後,再爆FBI也示警資安疑慮,SpaceX、NASA先後宣布禁用,清明長假結束後,分組異地上班的各家企業將又廣泛需召開視訊會議,那又該怎麼辦?

隨著全球新冠病毒疫情不斷升溫,國際科技公司及美國加州科技新創圈,近日來接續發布最新資安政策,除了不再使用ZOOM作為視訊會議管道,要求公事需用Skype for business 與 Microsoft Team,也可能用 webex,如果員工個人連繫、或與朋友個別談話,建議使用FACETIME。在國內的國立大學線上教學系統,也有Google Hangouts Meet 、Microsoft Team的學校帳號登入,加上一層資安保護。

跨國公司的分公司分散在世界各地,需配合當地政府法令讓員工在家上班(Work From Home,WFH),台灣韋萊韜悅(Willis Towers Watson)資安風險管理與保險業務專家吳明璋指出,目前的作法無形中增加資安的風險,除了要求員工一再更新電腦的修補程式、使用加密硬碟與設定自動的螢幕鎖定,WFH員工需使用兩階段加密(MFA)與VPN進行遠距工作上的連線。

Willis Towers Watson總部甫於上周公布最新「即時通訊平台資安政策」(Policy on the Use of Instant/Ephemeral Messaging Platforms),甚至更嚴格規定,不管是和客戶或同事之間交換的資訊,僅限於使用公司同意的Skype、Teams或Webex。對於目前市場疑慮很深的Zoom軟體,該公司一再嚴格檢視其中的可能資安漏洞。

韋萊韜悅對於所謂的「商業往來資訊」,也定義十分清楚,吳明璋說,「包括、但不限於」公司端提供給客戶的服務、報價或費用討論、提案、商業策略、財務資料、員工或客戶個人資料、保險資訊、客戶或廠商名單、機密的專業技能,規定詳盡目的,無不就是要自己先作好潛在資安漏洞的防堵。

基於Zoom的使用者愈來愈多,一旦被邀請參加Zoom而無法拒絕,由中研院兩位資訊專家呂紹勳、陳伶志撰寫的《有關 Zoom 的資安疑慮與建議》,已成為最佳指南針,文中提出的7點建議措施,提醒使用者應在進入視訊會議之前,應自行作好的資安防護:

1.使用Zoom進行會議時,請務必啟用點對點加密。(預設功能,請勿關閉)

2.建議從Zoom政府版網頁下載軟體,並且隨時保持讓程式更新到最新版本。

3.在Zoom系統中註冊專屬的帳號,並且設定未曾使用過的專屬密碼,請不要使用以既有Facebook 或Google 帳號登入的方式進行認證。

4.舉行會議時,請務必設定會議密碼(最好每場會議都不一樣,且要注意密碼的強度),以防無關的第三人擅入;同時,會議主持人的密碼,也須避免重複使用,並注意密碼的強度。

5.邀請與會者時,會議室的連結與會議密碼不要用同一封信寄出,如果是重要的會議,會議密碼應該採行其他的通訊方法告知。(例如電話簡訊或Line等)

6.在自己電腦的作業系統中,另外開設一個只有一般權限的使用者帳號,並使用這個使用者帳號去參加 Zoom 會議,等會議結束後,再切換為原本的使用者帳號。

7.若為臺灣學術網路使用者,可使用教育部提供的Zoom服務,其伺服器架設在教育部的機房,在資安管控上較可以信賴。

@參考資料:.Cyber risk, coronavirus and insurance coveragehttps://www.willistowerswatson.com/en-US/Insights/2020/03/client-alert-cyber-risk-coronavirus-and-insurance-coverage.有關Zoom的資安疑慮與建議https://medium.com/@lingjyhchen/有關-zoom-的資安疑慮與建議-87c89e44eaf1

(工商 )