2022年年初大量Omicron个案的湧现正好提醒我们,2019冠状病毒病疫情仍然严峻。在2021年要求员工重返办公室工作的机构,均需重启在家工作安排。疫情发展至今,很多机构都有实施在家工作安排的经验。然而,当中所涉及的电子或实体资料的转移无可避免会令资料外洩的风险增加。除此之外,网络威胁,例如黑客入侵、恶意软件等,仍然是一个备受关注的问题。
在家工作安排和资料外洩
在家工作安排虽然可以减低新冠病毒变异病毒株的传播风险,但有关安排本身亦有资料外洩的潜在风险。一项于2021年年中进行的全球调查(涵盖香港受访者)指出,85%实施在家工作安排的机构都曾发生网络安全事故,比大部分员工于办公室工作的机构高出20%。在缓解风险方面,调查发现机构如有多于一半员工在家工作,相对上需要多花58天确认及制止资料外洩。
不同的调查和研究均指出在家工作安排会令机构更容易遭遇资料外洩。例如,僱员可能会滥用公司装置作公务以外的用途。2021年一项调查发现,在英国和美国各有超过50%的僱员把公司装置用于与工作无关的活动上,例如进行网上购物。缺乏相关意识和培训亦会带来风险。一项同样于2021年进行的调查显示,受访的18至24岁僱员当中,接近50%将保安政策视为阻碍,同时亦只有约36%的受访僱员曾接受家居网络保安的培训。
美国一间大型油管公司去年遭受大规模网络攻击,导致国内燃油短缺,该公司亦支付了天价赎金。事件的背后,相信是黑客取得外洩的密码,并透过油管公司一个已弃用的虚拟私人网络(VPN)帐户进入公司网络。亦有报道指,该公司未有启动各帐户的多重认证功能。
不管疫情会否于在今年内完全退却,遥距工作环境似乎正逐渐变成一种不可逆转的新常态。早于2020年11月,即疫情开始接近一年的时候,比尔‧盖茨(Bill Gates)预测说,「超过30%在办公室工作的日子将一去不返。」就本地的情况而言,一项由香港生产力促进局在2021年进行的调查显示,62%的受访僱主考虑永久推行混合办公模式。因此,各方(尤其是机构和僱员)有必要致力加强在遥距工作下的资料安全。
保障个人资料的小贴士
就机构而言,在实施在家工作安排时,应进行资料保安及个人资料私隐的风险评估,从而制定合适的保障措施。在可行情况下,机构应向僱员提供有适当保安设定的电子装置(例如智能电话和手提电脑)。鑑于使用遥距接达所带来的风险,机构应为资料及文件转移、遥距接达公司网络及处理资料外洩事故等制定政策及指引。机构亦应确保虚拟私人网络(VPN)有适当的保安设定。最后,机构应经常向僱员提供合适的培训,包括密码管理、资料加密以及防范网络风险的意识。
在家工作的僱员亦应做好本份。僱员应遵守僱主有关资料处理的政策。在可行情况下,僱员应只使用公司的电子装置和电邮帐户处理公事。僱员亦应确保在家使用Wi-Fi的安全,例如采用WPA3或WPA2 安全协定。更重要的是,僱员应避免使用公共Wi-Fi工作。
视像会议固然能让我们可以保持联系,但使用者应选用提供合适资料保安功能的平台,亦应考虑使用提供端对端加密软件的平台。使用者应透过设定高强度密码及启用多重认证功能以保障他们的帐户,并确保已安装最新版本的视像会议软件及保安修补程式。视像会议主持人则应为每个视像会议设定独特的登入编号和高强度密码,以及利用虚拟等候室核实与会者身份。
对视像会议公司的私隐期望
鑑于视像会议带来的相关私隐风险,私隐公署除了向视像会议使用者发出实务指引外,亦于2020年7月联同来自五个司法管辖区(即英国、澳洲、加拿大、直布罗陀及瑞士)的资料保障监管机构,向提供视像会议服务的公司发出联署公开信,提醒它们须合法地及负责任地处理个人资料。联署机构亦在信中提出一些值得关注的问题,包括资料保安、「贯彻私隐设计」及「预设私隐模式」、透明度及公平性,以及终端用户的控制权。公开信得到各主要视像会议公司的正面回应,而有关公司亦已落实不同的私隐和保安行事常规。
包括私隐公署在内的六个监管机构于2021年10月发表联合声明,向视像会议公司指出一些可以进一步改善保障个人资料的行事方式,例如:向所有使用者提供端对端加密选项、只有在向使用者明示后和使用者表达明确的同意后,方可将使用者的资料用于其他目的、就储存资料地点方面向使用者提供全面的透明度等。
顺带一提,为方便公众了解在家工作安排下的资料保安措施,私隐公署制作了《在家工作安排下的个人资料保障》单张供公众下载:https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/wfh_pamphlet_chi.pdf。