數位發展部資通安全署近日發布「中小企業基本資安防護指引」,從帳號管理、設備與資料管理、資安意識培訓三個面向,協助企業以簡單、不用花大錢的方式建立資安基礎。
資安署指出,一組重複使用的密碼、一台三年未曾更新的桌機,看似日常,卻可能讓一間企業整週無法接單出貨。駭客偏好攻擊防護較薄弱的對象,因此沒有專職資安人力的中小企業,很容易成為阻力最小的入口。 資安防護不一定要花大錢買設備,關鍵在於應建立正確的作業流程與使用習慣 ,建議中小企業落實「帳號管理」、「設備和資料管理」與「資安意識培訓」資安三大面向:
第一、帳號管理:管好公司的「鑰匙」
密碼要夠長,也要到處不一樣:建議至少 15 碼,可以使用好記的一串短語組成,或透過密碼管理工具生成、管理密碼,增加破解難度。每組帳號都有專屬密碼,就能大幅降低被破解的風險。
重要帳號,兩道鎖更安全:重要帳號登入時,除了輸入密碼,再透過手機接收驗證碼,或使用指紋等生物辨識進行確認。這樣即使密碼外洩,即便密碼外洩,若沒有您手機上的驗證碼,駭客也無法登入。
不共用帳號:每位員工應有獨立帳號、禁止多人共用。員工離職當天則應立即停用帳戶,避免重要資料外流。
第二、設備和資料管理:守護公司的「資產」
自動更新一定要開:不論是Windows還是常用軟體(如LINE、Chrome),都要開啟「自動更新」,並安裝防毒軟體,定期掃描系統、修補漏洞,讓駭客進不來。
落實「3-2-1 備份原則」:公司資料至少要有3份備份、存放在2種不同儲存媒體、至少1份異地存放,並建議其中1份要離線存放(如外接硬碟),這是企業在遇到勒索軟體攻擊時,能把資料救回來的機會。
裝好設備第一件事,就是改密碼:攝影機、印表機、路由器等設備出廠時都使用相同的預設密 碼,攻擊者對這些密碼瞭若指掌。設備連上網路後,第一步就是改掉預設密碼。圖三設備與資料管理。
第三、資安意識培訓
識破釣魚陷阱:企業員工每天在處理的事,也正是攻擊者最常偽裝的信件主題,主旨寫著「報價單」、「請更換匯款帳號」一率小心再小心。建議企業內部建立一些內部規則:凡涉及權限變更、金流或檔案下載,一律先用電話向對方確認,不直接點選信中連結或附件。
建立資安事件應變計畫:電腦出現不明程式、檔案突然被加密、系統異常緩慢,這些徵兆很容易被企業當成普通故障而忽略。發現異常時,第一步先中斷網路連線,第二步通報指定窗口,第三步保留現場畫面或紀錄。三個步驟不需要技術背景,任何員工都能執行。
善用政府資源:免費註冊「台灣電腦網路危機處理暨協調中心 (TWCERT/CC)」會員,可接收最新威脅警報,獲取即時的資安情資 。另外,也可透過指引中附件的「中小企業資安參考資料資源」,從中小企業網路大學校、國家資通安全研究院及TWCERT/CC等,獲取免費的資安防護資源。
另外,為了讓企業快速評估,這份指引附帶了「中小企業基本資安防護自檢表」,列出了16項基礎檢核點,像是「密碼是否超過15碼?」、「是否使用 3-2-1 原則備份?」等,企業主只需勾選「是」或「否」,就能立刻知道自家的防禦漏洞在哪裡 。
資安署呼籲,資安並非額外的營運開銷,而是企業經營的基礎、更是加值企業價值的利器,透過這份簡淺易懂的指引,希望能與全國中小企業攜手,共同打造更安全、更具數位韌性的營運環境。
2026/04/16 11:13
轉載自聯合新聞網: https://udn.com/news/story/7240/9445220?from=udn-ch1_breaknews-1-99-news
Post gallery
