法律专家警告公司加强网络安全防御,因为COVID-19为欺诈性电子邮件、网络钓鱼增加以及与在家工作的员工增加相关的其他风险提供了新的机会。
美国律师事务所Deebevoise已经发布了一份清单,供公司考虑在准备因COVID-19而可能中断和远程工作时。
网络风险清单
在最近出版的纽约大学法学院博客中,该公司列出了以下网络安全注意事项:
1. 网络钓鱼
小心冠状病毒网络钓鱼诈骗。 我们已经看到虚假的 CDC 更新、IT 警报和软件通知,它们试图获取用户凭据或安装恶意软件,因此请考虑实施特定于冠状病毒的网络钓鱼培训或测试。 重新分发任何涵盖使用个人计算机、智能手机、平板电脑和 WiFi 网络进行工作的公司政策也是一个好主意,并强调 (a) 这些政策仍然适用于在家工作的人, (b) 如果政策有明确变化,安全协议不会放松。
不要向看起来像网络钓鱼电子邮件的员工发送合法电子邮件,因此对员工的官方 COVID-19 更新应具有一致的格式,并且不包括链接或附件,这将有助于员工正确识别网络钓鱼电子邮件。
2. 远程容量
考虑通过让许多员工尝试同时远程登录来测试公司的远程容量,并考虑添加或扩展使用基于 Web 的安全视频会议选项。
3. 实时漏洞更新
通过订阅各种威胁共享组(包括 CISA 警报服务、FBI 网络警报、IT-ISAC 和行业威胁共享组)来保持新的漏洞和骗局非常重要。
4. 帮助帮助台
预测 IT 帮助台的额外负担,并确保您的员工拥有所需的政策、培训和工具,以处理来自在家工作的员工提出的越来越多的技术援助请求,包括能够 使用电话号码身份验证、质询问题和双重身份验证等措施验证员工的身份。
5. 预测远程工作问题
难以使用家用计算机(例如打印)的员工会倾向于使用不太安全的方式完成工作任务,例如通过电子邮件将机密文档发送到其个人电子邮件帐户,以便在家里轻松打印。 公司应尽量提前预测和解决这些问题。
6. 重要员工
确定需要多少人(如果有)在现场保护网络,包括修补系统和对在此期间需要快速添加的任何新系统进行信息安全审查,以及在发生网络事件时需要进行调查和补救。 考虑备份人员,以防其中一些人不可用。
7. 供应商
与公司的主要第三方数据供应商协调,以确保其网络安全应急计划足够。
8. 更新联系信息
确保关键员工(尤其是手机号码)的联系信息是最新的。
9. 保护医疗信息
如果员工生病,有充分的理由希望分享这些信息,但同样重要的是,要根据法律要求保持员工医疗数据的机密性,包括被诊断员工或雇员家属的健康状况和身份。
这篇文章是由北美监管情报编辑亨利·恩格勒为《博客上的答案》写的,这是汤森路透的出版物。 法律见解已重新发布本文的权限。
