小型企業的安全電子郵件指南

駭客主要是透過電子郵件竊取公司敏感性資料和資訊,這點對大多數企業經營者來說可能不足為奇。但值得注意的是,小型企業特別容易受到攻擊。具體而言,針對員工人數為 250 人以下公司所發動的整體網路攻擊次數,在去年的前六個月增加為以往的兩倍,而每次攻擊的損失平均超過 $188,000 美元。根據戰略暨國際研究中心 (Center for Strategic and International Studies) 的研究,網路攻擊對美國整體經濟所造成的影響高達每年 $1000 億美元。

這正是 2014 年大型 Sony 電子郵件遭駭事件如此重要的其中一個原因。這起事件讓所有企業省思如何避免發生同樣的災難。如果連設有多重安全性機制的大公司都會被駭客入侵,那麼資源有限的小型企業豈不是毫無招架之力?

先別灰心。事實上,有很多方式可以確保企業擁有安全電子郵件的保護。由於企業的安全性取決於最弱的一環,因此有效提升安全性的方法就是讓員工親身參與並積極投入。以下提供七個基本祕訣:

  1. 將建立和導入網路安全性計劃列為第一要務。 當然,您不僅要思考如何確保電子郵件服務的安全性,還要想想哪些策略可確保您的網站、付款資訊和其他資訊安全無虞。不過,處理電子郵件的安全性問題仍是計劃中的主要環節。美國聯邦傳播委員會製作了 Small Biz Cyber Planner 2.0 這項實用的工具,協助您制訂專屬計劃。
  2. 考慮採用電子郵件加密。採用電子郵件加密後,只有特定使用者能夠存取及讀取貴公司的電子郵件,避免駭客竊取個人資訊。電子郵件加密的方法有很多種,您可以根據所需的安全性等級和便利性選用合適的方法。例如,您可以下載或購買額外的軟體,外掛於您目前的電子郵件用戶端。或者,您也可以安裝 PGP (優良保密協定) 等電子郵件憑證應用程式,讓員工能夠與任何電子郵件寄件者共用公開金鑰,並且使用私密金鑰將收到的任何電子郵件解密。另外,還有一個簡單的解決方案,就是使用協力廠商加密電子郵件服務
  1. 確保密碼安全。 理論上,所有員工的公司電腦和電子郵件系統都應設有各自的密碼。這些密碼應每三個月重設一次;此外,當員工變更密碼時,請務必採用多重要素驗證。強度最高的密碼應包含至少 12 個字元,並採用數字、符號、小寫字母和大寫字母的組合。密碼不能太好猜 (例如使用生日、小孩的名字等內容做為密碼),但應該要好記。換句話說,員工應避免使用兩組最常用但最差的密碼:“password” 和 “123456”。這兩組密碼也是 2014 年最多人使用的密碼。 此外,員工不應在多個帳戶或網站中使用同一組密碼。考慮讓員工使用密碼管理員或單一登入功能。對於想尋找工具來集中存放密碼、銀行帳戶、電子郵件帳戶、PIN 碼和其他帳戶資訊的小型企業而言,CommonKeyLastPass 提供了一些優質的解決方案。如何知道您的密碼是否遭到盜用?可以註冊 PwnedList 或 Breach Alarm 等看門狗服務。這類服務會監控密碼是否已外洩,並且會在任何電子郵件地址出現安全性漏洞時自動回報。
  2. 設定有意義的電子郵件保留原則。 請要求員工清除與工作無關的電子郵件,並導入原則以確保合規性。許多公司制訂了 60 到 90 天的標準,只要過了設定的期間,系統就會執行自動封存及永久移除的步驟。對某些員工來說,記得刪除不符合這項標準的電子郵件並不容易,因此經常提醒他們有其必要性。
  3. 訓練員工注重電子郵件安全性。 員工在確保電子郵件資料安全方面扮演至關重要的角色。公司應該要訓練員工,讓他們知道應該要避免哪些行為和電子郵件類型。不過,根據 InfoSight 的調查,近半數的公司將不到公司安全性預算 1% 的費用投入在訓練員工如何注意安全性威脅的計劃上,卻有 64% 的組織曾因電腦漏洞而有程度不同的財務損失,此外,有 85% 的組織曾在公司中偵測到電腦病毒。訓練的成本不高,但可有效降低因駭客入侵而損失龐大成本的風險,何樂而不為?

    具體而言,公司應訓練員工遵守下列規定:

    • 不要開啟來自不明人士的連結或附件。
    • 無論信件來源看起來有多正式,一律不回覆要求密碼變更和提供個人資訊的電子郵件。
    • 務必更新電腦上的防毒和防間諜軟體。
    • 寄出任何含有敏感性資料的電子郵件前先進行加密。
    • 不要使用公司電子郵件地址收發個人電子郵件。
    • 不要將公司電子郵件自動轉寄給協力廠商電子郵件系統。

    此外,有些公司制訂了安全性計劃,安排網路釣魚活動、魚叉式網路釣魚電子郵件和其他網路安全性威脅來測試公司員工,並在員工通過測試後給予獎勵。結果發現這些計畫成功提升了安全性。

  4. 對公司相關的行動裝置使用情況維持嚴格標準。 使用公司核發的行動裝置或個人行動裝置收發公司電子郵件時,員工必須將資料加密、妥善保護裝置密碼,並安裝經過核准的安全性 App,這樣駭客就無法透過共用 WiFi 網路存取裝置。尋找內建行動裝置管理功能的解決方案,該方案能提供選項,透過條件式存取、裝置管理和選擇性抹除公司資料來協助您保護資料安全。
  5. 確保電子郵件安全時應該要避免的常犯錯誤。 除了上述問題之外,還有其他因素會降低電子郵件的安全性,因此請將下列建議納入考量:
    • 所有電腦 (而不只是部分電腦) 都應使用電子郵件加密。如果每個人採用的標準不一致,電子郵件加密就沒有意義。
    • 離開電腦前一律鎖定電腦。制定公司原則,要求員工在離開座位前鎖定電腦 (登入時應輸入密碼)。只要在建立原則時將公司電子郵件納入考量,就能防止許多問題的發生。當您在發展資訊安全環境時,不妨要求員工提供協助,並在事後給予獎勵,這樣才能逐一確保每封電子郵件中的員工、客戶和企業資料安全無虞。

關於作者

The Microsoft 365 team is focused on sharing resources to help you start, run, and grow your business.

開始使用 Microsoft 365

以您熟悉的 Office 搭配有助於共同作業的各式工具,讓您能隨時隨地完成更多工作。

立即購買
相關內容
Business Tech

當公司未正確保護智慧財產時會有什麼後果

深入閱讀
Business Tech

客戶資料 – 劃清實用創新與侵犯隱私權之間的界線

深入閱讀
Business Tech

對抗駭客入侵手機並提高裝置安全性的 6 個方式

深入閱讀

成長中心不會構成專業的稅務或財務建議。您應該連絡您的稅務或財務專家以討論您的情況。