欢迎点击关注我们
如今,大多数IT系统的用户都清楚地知道,采用高强度密码是保障数据安全的基本要求。随着我们越来越依赖云系统,规范使用密码变得愈加重要。安全漏洞的修复代价高昂,上报程序也十分复杂,这会动摇客户和监管机构对公司的信任,从而阻碍公司的发展。
不过,要让这些使用规范融入到企业文化之中并非易事。会计师事务所的工作节奏非常快,这意味着如果看不到明显的好处,人们往往会跳过那些麻烦的步骤。
就像Practice Protect的创始人Jamie Beresford说的那样,人们总是图方便省事。他说:“人们总是会担心会计师事务所在哪一天会遭遇黑客攻击,但对遭遇黑客攻击的长期风险却并不在意。”
如果会计实务操作完全依赖于以云技术为基础的平台,就需要将三项安全规范融入到企业文化之中。换言之,需要确保所有人都采取了这些规范,无一例外。
01
使用独一无二的密码。
02
必须使用密码管理器。
03
必须使用双重身份验证。
虽然这三点说起来很容易,但做起来却很难。
网络安全问题是一种心理上的挑战
网络安全专家强调,改变人们在网络安全方面的行为习惯几乎可以说是一种心理上的挑战。
在2014年的一篇著名论文中,Maria Bada、Angela Sasse以及Jason Nurse这三位英国研究员发现,仅仅依靠“恐惧诉求”并不足以说服人们采取良好的网络安全防范措施。指导人们遵循网络安全操作规范的安全宣传活动通常收效甚微,因为这些行为所需的努力和技能超出了大多数用户的能力范围。
那怎么做才有效?研究人员已经发现了几个重要方法。
01 教育方式应针对特定用户进行调整,具有可操作性,并在用户学习时提供反馈。 |
02 培训和反馈需要持续进行,直至用户改变行为。 |
03 领导层必须在企业内部强调安全措施的重要性。 |
从上而下制定网络安全基调
全球网络安全咨询公司NCC集团高级网络安全顾问Joss Howard强调,领导层在改善云登录行为规范方面的重要性。企业所有者、首席执行官以及董事会需要“从上而下制定网络安全基调”并明确解释为什么“这对我们所有人都有利”。
另一方面,由技术人员主导的网络安全项目如果缺少高层领导的支持,也很容易遭遇失败。
除领导层的支持外,推行安全措施需要有足够的缓冲时间,Howard称之为抱怨阶段,在这个阶段,企业应该支持员工提供反馈,就登录规则和流程提出问题,并且认真对待这些问题。此时的沟通交流决定了安全计划的成败。
Howard指出,抱怨的程度和类型以及不确定性取决于公司内部的技术能力。在规模较小的会计师事务所,有些员工可能会抱怨说,“我连Word都不太会用,更不用说进行双重身份验证了。”
使用独一无二的密码
Beresford指出,在网上会计服务提供商的帮助下,有些会计师很早就开始采用云计算服务。
不过,这也加剧了IT专家所说的“菊链式密码”问题,即用户在多个网站使用相同的密码。那么,户为何会使用菊链式密码?
因为他们无法记住10个、30个甚至100个不同的密码,所以人们往往会为了节省时间和精力而走捷径。
Beresford表示,最常用的快捷方法就是使用几个不同等级的密码。用户通常会为电子邮箱、社交媒体账号设置保密强度最高的密码,例如对他们具有特殊意义的日期,还可能会定期更换密码。
对于情感价值较低的数据,如旅游应用程序中的数据,用户通常会设置强度较低、更容易被猜到的密码。Beresford表示,业务数据通常会被归入这类重要性较低的二类数据。
最终的结果可能就是,一旦黑客破解了用户的Dropbox企业账户密码,就能立即访问该用户的公司邮箱、Xero账户以及Office 365文件。
Darren Booth是RSM澳大利亚国内安全和隐私风险服务主管。为了表明问题的严重性,他通过一家网站(haveibeenpwned.com)来查看企业账户信息是否已泄露,结果却不容乐观。
如果用户需要为每个网站设置独一无二的密码,他们如何才能记住所有这些密码?
对于密码过多的问题,我们首先想到的解决方法就是列一份书面的密码清单。然而,这些清单难以维护,使用起来也比较困难,而且很可能会从用户的抽屉中不翼而飞。
使用密码管理器的必要性
密码管理软件能够更好地解决这个问题。这些程序不仅可以记录密码,通常还可以自动填写登录界面。
此外,它们相比Google Chrome等浏览器内置的自动登录系统具有更高的安全性。著名安全顾问、哈佛大学肯尼迪学院讲师Bruce Schneier认为,密码管理器是当前IT环境中必不可少的工具。
第一代密码管理工具专为个人消费者打造,包括:LastPass、1Password以及KeePass等。现在,专为企业用户设计的新一代工具已经出现,可提供企业级密码管理,例如:CyberArk的Enterprise Password Vault、Thycotic的Secret Server、One Identity的产品、Click Studios的Passwordstate,以及LastPass的Teams和Enterprise,它们属于第一代消费级产品的升级版。Booth认为这些工具将会“持续吸引企业用户的关注”。
Howard表示,这些工具的实用性在过去五年中也大幅提高;有些系统几乎可以实现用户需要的所有功能。Howard还强调,与其他工具一样,对员工进行培训也是至关重要,因为企业必须说服他们在访问云设施时务必要使用密码保护工具。
使用双重身份验证
双重身份验证(2FA)要求用户提供除用户名和密码以外的其他信息进行验证,才能访问云应用程序。通常,“第二重验证”是指发送到用户手机上的验证码或者Google、Microsoft或LastPass等公司开发的身份验证器App生成的验证码,后一种方式更加安全。
澳大利亚税务局(ATO)现在要求Xero、MYOB、QuickBooks Online等云会计软件必须提供2FA。不过,各种非会计类云应用程序中同样存储着大量客户数据,不论是在线电子表格、电子邮件,还是项目管理工具。因此,也应该利用2FA来保护这些数据。
有些用户不愿意打开电子邮箱也要进行双重身份验证。这时可利用硬件安全密钥简化流程,如Yubico出售的安全密钥,这样只要每天早上将密钥插入电脑即可。
好消息是,澳大利亚税务局的相关要求、指纹识别技术在手机上的应用以及个人银行业务中2FA验证码的使用,让我们对这些技术不再陌生。
Howard说道:“用户已经接纳这项技术。”Booth亦表示,得益于Microsoft在Office 365中采用了该技术,用户已经习惯使用双重身份验证。
以上内容经《INTHEBLACK》杂志授权发布
欢迎点击阅读原文,作更深入地阅读。
更多精彩内容请点击图片查看
往期回顾
澳公会首推Career Insights为您的职业发展护航
2020年第二学期考试报名优惠即将截止!
澳洲会计师公会 是全球最大的专业会计团体之一,目前在全球100多个国家及地区拥有超过166,000名会员,会员担任高层领导职位的人数逾25,000名,大中华地区的会员人数已超过19,000名。