2022年年初大量Omicron個案的湧現正好提醒我們,2019冠狀病毒病疫情仍然嚴峻。在2021年要求員工重返辦公室工作的機構,均需重啟在家工作安排。疫情發展至今,很多機構都有實施在家工作安排的經驗。然而,當中所涉及的電子或實體資料的轉移無可避免會令資料外洩的風險增加。除此之外,網絡威脅,例如黑客入侵、惡意軟件等,仍然是一個備受關注的問題。
在家工作安排和資料外洩
在家工作安排雖然可以減低新冠病毒變異病毒株的傳播風險,但有關安排本身亦有資料外洩的潛在風險。一項於2021年年中進行的全球調查(涵蓋香港受訪者)指出,85%實施在家工作安排的機構都曾發生網絡安全事故,比大部分員工於辦公室工作的機構高出20%。在緩解風險方面,調查發現機構如有多於一半員工在家工作,相對上需要多花58天確認及制止資料外洩。
不同的調查和研究均指出在家工作安排會令機構更容易遭遇資料外洩。例如,僱員可能會濫用公司裝置作公務以外的用途。2021年一項調查發現,在英國和美國各有超過50%的僱員把公司裝置用於與工作無關的活動上,例如進行網上購物。缺乏相關意識和培訓亦會帶來風險。一項同樣於2021年進行的調查顯示,受訪的18至24歲僱員當中,接近50%將保安政策視為阻礙,同時亦只有約36%的受訪僱員曾接受家居網絡保安的培訓。
美國一間大型油管公司去年遭受大規模網絡攻擊,導致國內燃油短缺,該公司亦支付了天價贖金。事件的背後,相信是黑客取得外洩的密碼,並透過油管公司一個已棄用的虛擬私人網絡(VPN)帳戶進入公司網絡。亦有報道指,該公司未有啟動各帳戶的多重認證功能。
不管疫情會否於在今年內完全退卻,遙距工作環境似乎正逐漸變成一種不可逆轉的新常態。早於2020年11月,即疫情開始接近一年的時候,比爾‧蓋茨(Bill Gates)預測說,「超過30%在辦公室工作的日子將一去不返。」就本地的情況而言,一項由香港生產力促進局在2021年進行的調查顯示,62%的受訪僱主考慮永久推行混合辦公模式。因此,各方(尤其是機構和僱員)有必要致力加強在遙距工作下的資料安全。
保障個人資料的小貼士
就機構而言,在實施在家工作安排時,應進行資料保安及個人資料私隱的風險評估,從而制定合適的保障措施。在可行情況下,機構應向僱員提供有適當保安設定的電子裝置(例如智能電話和手提電腦)。鑑於使用遙距接達所帶來的風險,機構應為資料及文件轉移、遙距接達公司網絡及處理資料外洩事故等制定政策及指引。機構亦應確保虛擬私人網絡(VPN)有適當的保安設定。最後,機構應經常向僱員提供合適的培訓,包括密碼管理、資料加密以及防範網絡風險的意識。
在家工作的僱員亦應做好本份。僱員應遵守僱主有關資料處理的政策。在可行情況下,僱員應只使用公司的電子裝置和電郵帳戶處理公事。僱員亦應確保在家使用Wi-Fi的安全,例如採用WPA3或WPA2 安全協定。更重要的是,僱員應避免使用公共Wi-Fi工作。
視像會議固然能讓我們可以保持聯繫,但使用者應選用提供合適資料保安功能的平台,亦應考慮使用提供端對端加密軟件的平台。使用者應透過設定高強度密碼及啟用多重認證功能以保障他們的帳戶,並確保已安裝最新版本的視像會議軟件及保安修補程式。視像會議主持人則應為每個視像會議設定獨特的登入編號和高強度密碼,以及利用虛擬等候室核實與會者身份。
對視像會議公司的私隱期望
鑑於視像會議帶來的相關私隱風險,私隱公署除了向視像會議使用者發出實務指引外,亦於2020年7月聯同來自五個司法管轄區(即英國、澳洲、加拿大、直布羅陀及瑞士)的資料保障監管機構,向提供視像會議服務的公司發出聯署公開信,提醒它們須合法地及負責任地處理個人資料。聯署機構亦在信中提出一些值得關注的問題,包括資料保安、「貫徹私隱設計」及「預設私隱模式」、透明度及公平性,以及終端用戶的控制權。公開信得到各主要視像會議公司的正面回應,而有關公司亦已落實不同的私隱和保安行事常規。
包括私隱公署在内的六個監管機構於2021年10月發表聯合聲明,向視像會議公司指出一些可以進一步改善保障個人資料的行事方式,例如:向所有使用者提供端對端加密選項、只有在向使用者明示後和使用者表達明確的同意後,方可將使用者的資料用於其他目的、就儲存資料地點方面向使用者提供全面的透明度等。
順帶一提,為方便公眾了解在家工作安排下的資料保安措施,私隱公署製作了《在家工作安排下的個人資料保障》單張供公眾下載:https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/wfh_pamphlet_chi.pdf。