今年 4 月,《公共会计师》发布了一个自助测验,帮助读者衡量自己的网络安全保护水平。我们收集了测试结果,并向网络安全专家请教了正确的做法。
助理国库部长兼财政服务部长斯蒂芬·琼斯(Stephen Jones)本周就在报税季常见的骗局发出警告。
“冒名诈骗多见于报税季,”琼斯说,“骗子会冒充澳大利亚税务局,通过假冒的 myGov 登录页面链接与个人联系。”
琼斯说,其他常见的诈骗一般是通过电话、社交媒体上的私人信息、电子邮件或短信寻求个人信息。骗子可能会在社交媒体上冒充澳大利亚税务局(ATO),提供税务和养老金问题方面的帮助,或通知人们有假退款,然后试图收集尽可能多的个人信息。
消费者需要对自己进行风险教育,而会计师也要在引导客户方面发挥作用。会计专业人员也需要知道如何识别虚假信息,并熟知在自己的收件箱中应注意什么。网络安全风险和网络安全措施应成为会计人员的首要任务。
《公共会计师》今年早些时候发布了一份自助测验,帮助读者评估其网络安全保护水平。
我们收集了这些结果,以揭示需要更多关注的领域,并请 Sekuro 首席信息安全官普拉尚特·哈尔丹卡(Prashant Haldankar) 提出了一些改进方法的指引。
1. 使用 VPN
47% 的受访者没有 VPN。
哈尔丹卡说,这十分令人担忧,因为 VPN 提供了基本的保护。
哈尔丹卡说道:“这是你安全登录到可信网络并访问有许可的机密资源的方式。”当疫情袭来时,许多组织还没有准备好通过 VPN 进行远程访问。令人吃惊的是,许多组织仍在组建系统,以实现远程员工的安全访问。
关键的一点是要不断更新网络安全保护级别,包括 VPN 访问。
“这不是一个一次性的工作。它需要定期审查和更新,以确保该组织被提供了正确的保护。”
2. 防止恶意行为
84%的受访者使用反恶意软件、身份验证日志和网络钓鱼电子邮件过滤器等检测软件来检测恶意活动。
哈尔丹卡对企业在这一领域已经相当成熟并不感到惊讶,因为在 2000 年代初,关于电子邮件和互联网访问风险的讨论就已经非常广泛。
哈尔丹卡说:“当我们开始越来越多地讨论网络安全问题时,第一道防线的教育就非常普遍了。电子邮件内容过滤和网络访问控制被认为是基本的安全要求。这些技术被大量使用。”
如今,电子邮件中内置了人工智能工具等新技术,可以标记潜在的网络钓鱼风险。
哈尔丹卡解释说,这些人工智能工具基于行为测试。
"例如,它会查看我撰写电子邮件的模式,如果检测到异常情况,它就会识别出异常情况的来源"。
3. 对机密数据进行加密
一旦第一道防线遭到破坏,攻击者就会试图进一步侵入企业。
这就是为什么加密机密数据至关重要。只有超过一半(51.3%)的受访者表示他们会加密机密数据。
“攻击者的主要目标是获取组织的关键数据。加密使攻击者难以获取加密信息”。
与多重身份验证类似,对数据进行加密也已司空见惯,因此哈尔丹卡对约半数受访者尚未采取这一措施感到惊讶。
"这是网络安全的重要基础。你的关键数据应该加密。许多组织也在对移动电话和笔记本电脑等终端设备进行加密。因为在笔记本电脑上也会处理大量本地信息。
4. 网络安全培训
46%的受访者没有为员工提供网络安全培训。
哈尔丹卡认为,由于认为网络安全培训具有很高的技术性,各组织通常会暂缓推出网络安全培训。
“他们认为,接受网络安全培训将是一项庞大而复杂的工作,但网络意识并不需要与额外的专业技术知识齐头并进。”他提道。
这同样适用于特定团队或政府部门的网络安全卫士。
基本的教育和培训足以让每个业务部门的负责人掌握在网络攻击发生之前阻止其发生的知识。当员工发现可能是网络攻击的异常情况时,他们应该掌握一些基本信息,以便发现并向网络安全专家报告。
他还强调,培训应与时俱进。
“培训对于在组织内部建立网络安全能力,以检测这些攻击并在早期阶段尽量避免这些攻击有很大帮助。”
不仅是员工,合作伙伴、客户和供应商也能从网络安全意识中受益。
“各组织机构应分享他们的防御战略,并树立防范意识。很多事件都发生在供应商层面,而不是组织机构本身。”
5. 多重验证
哈尔丹卡表示,多重身份验证正在成为一种常态,66% 的受访者已经推出双重身份验证。
“许多组织机构已将其作为访问网络的标准方式。这并不是一项昂贵的技术,我们应该敦促各机构采用多重身份验证来访问网络,不仅是远程访问,在办公室内也可以进行本地访问。”
对于那些尚未推出多重身份验证或正在评估当前流程有效性的组织,哈尔丹卡建议制定一项全面的网络安全计划,将组织机构的网络风险水平考虑在内。
“你需要衡量、识别和评估敏感数据的位置、知识产权、现有技术系统和流程,以及员工和承包商的网络意识水平”。
所需的身份验证级别(即是否有两个或更多级别的身份验证)取决于数据的敏感性和该组织机构所面临的风险。
“进行评估并制定防御计划。还有适合组织机构风险偏好的技术解决方案。任何网络安全计划都应全面考虑。”
原载自公共会计师协会数字资讯平台2023年6月7日文章,IPA数字资讯平台中心:www.publicaccountant.com.au