引子
這段時間,打開筆記本,登上VPN,開啟雲服務,加入多方語音會話等,已成為很多人新的工作流程。
受疫情影響,為減少潮汐式通勤、集中辦公等帶來的傳播風險,全國幾億人開啟了遠程辦公模式。下圖為百度搜索關於“遠程辦公”的熱搜指數,曲線在年後非常陡峭。
遠程辦公不是新鮮事物,技術和市場也是“百花齊放”,新的模式與技術總會帶來新的風險與挑戰。這麼多企業採取遠程辦公,其中的風險也需要儘早識別、評估,構建相匹配的風險和內控框架。
一、 什麼是遠程辦公
遠程辦公,也稱為移動辦公、3A辦公,在5G和雲時代也被稱為雲辦公。
與傳統集中辦公模式相比,遠程辦公擺脫了空間和時間的約束,可以保證員工在任何時間(Anytime)、任何地點(Anywhere)處理與工作相關的任何事情(Anything)。
遠程辦公一般要有如下功能:
· 即時通訊
· 數據資料共享
· 在線協同辦公
· 視頻會議
· 客戶點對點交流
二、遠程辦公的模式
遠程辦公有很多不同的實施方案,核心都是通過現代互聯網技術實現安全、高效地非本地化辦公。
常見模式有如下三種:
· VPN接入。VPN是虛擬專用網(Virtual Private Network)的簡稱,通過特殊加密的通訊協議連接到互聯網上,相當於在不同地點之間建立了一條私有的通訊線路,是公司內部網的一種擴展。VPN主要採用隧道、密鑰管理、身份認證等技術保證數據傳輸的安全性。通過VPN,不需要向運營商申請專線,搭建比較簡單,成本也比較低。很多公司現存的遠程辦公系統都是通過VPN方式實現的,首先通過VPN建立加密網絡通道,其次與傳統辦公模式一樣,使用電腦登錄公司的業務和管理系統,進行日常業務處理。VPN缺點也很明顯,VPN相當於在TCP/IP協議上再加一層,數據傳輸的速度、可用帶寬、高併發都不太理想。這些天,在家通過VPN參加視頻會議的人最熟悉的詞就是“卡頓”,不可訪問、延遲時間長、傳輸質量差等問題不僅影響員工辦公效率,還影響心情。
· VDI接入。VDI是虛擬桌面基礎架構(Virtual Desktop Infrastructure)的簡稱,一般由高度虛擬化的服務端加上雲終端機或瘦客戶機組成。數據處理、操作、存儲等都放在遠程虛擬化的服務器上,通過網絡將虛化後的個人桌面推送到客戶的終端設備上。通過VDI實現的遠程辦公,如遠程桌面、Citrix App等,為員工提供了安全可控的桌面計算環境,不僅能節約成本、集中監管、災難恢復,還能有效保證應用環境安全可信,防止信息遭到惡意攻擊。
· 專業遠程辦公系統。遠程辦公軟件行業已具備一定規模,這次受疫情影響,遠程辦公需求短期內迅速增加,專業遠程辦公工具和系統提供商紛紛加大宣傳和推廣力度。企業微信、釘釘、飛書等都吸引了大批客戶。在5G到來時,基於雲計算、雲存儲等技術,融入邊緣計算、AR/VR等技術的遠程辦公服務將成為未來趨勢。但對一家企業而言,是否選擇外部軟件服務商提供的遠程辦公系統,不在於技術上難以抉擇,而是一個信任問題。
三、遠程辦公的風險
1.制度風險。在遠程辦公模式下,公司原有的內部控制措施、規章制度,已不能適應新的辦公模式,對現有內控制度產生挑戰。比如,傳統集中辦公模式下的不相容崗位兼容、雙向複核、雙人核保等都無法實施。開啟員工辦公模式後,公司需要臨時調整IT架構、數據流程等,對調整後的架構及網絡邊界內外的業務資產安全狀況的管控成為新的制度盲區。
2.經營風險。以銀行為例,現階段遠程辦公只能通過點對點的即時通訊工具進行溝通,對企業的銷售收入、合同真實性的非現場審核難以滿足信用風險管控要求,甚至不排除一些企業,存在“搭便車”的想法,埋下監管風險隱患。
3.合規風險。對受到高度監管的行業而言,如商業銀行,目前的監管制度更多的是基於集中辦公情形下的行為監管。為了應對疫情影響,支持遠程辦公,對一些管理要求通過臨時通知等採取臨時性豁免處理方式,其中不少處理方式難以符合監管制度要求,存在潛在合規風險。
4.信息安全風險。這是當前遠程辦公中面臨的主要風險,包括員工遠程訪問的身份識別、不同種類的終端安全防護、網絡安全、授權管理等行為中的風險。比如,原來在公司內網登錄業務系統,由於內外網隔離,一般只要用戶名和密碼,現在啟用遠程辦公後,員工通過VPN、VDI接入,接入終端和員工可能都是在網絡邊界外,用戶的登錄驗證是否需要二次身份認證?很多基於內部網絡環境開發的業務系統都映射到互聯網上,暴露在外部網絡環境下使用是否需要重新進行相關的安全評估?
遠程辦公模式中,公司一般都允許員工使用個人設備進行辦公(所謂BYOD, “Bring Your Own Device”),這些個人設備可能無法保證及時更新安全補丁或安裝了非法的惡意軟件,可能成為竊取企業數據和滲透內部網絡的突破口。
5.數據安全風險。遠程辦公過程中,需要進行大容量工作資料文件的傳輸與存儲。如果員工缺乏保護公司數據資產的意識和識別安全威脅、判斷高風險行為的能力,如識別釣魚郵件、禁止隨意拷貝存儲公司數據等,那麼數據就有可能遭受篡改或者洩露,侵害公司的核心數據資產安全。
遠程辦公過程中往往需要進行信息或文檔的遠程協同編輯,由於遠程辦公員工使用的終端、系統、辦公軟件等參差不齊,很容易存在數據一致性風險。一旦出現錯誤,給企業造成的損失可能呈幾何倍數增長。
此外,遠程辦公時會更多使用筆記本、智能手機、平板等各種移動設備。移動設備方便攜帶也極易丟失,這種易失性大大增加了公司數據洩露和丟失的風險。若公司未採取相關策略對移動設備存儲數據進行有效管理,則可能會洩露商業機密。
6.外包風險。大部分公司遠程辦公都是通過採購第三方公司提供的服務或者軟件系統來實現的。在與第三方公司進行合作時,需要對其監管合規、數據隔離、職責劃分、可用性水平等方面進行風險評估,防範外包風險。
軟件系統本身的安全性也不容忽視,如果應用環境不匹配、參數配置不當、數據傳輸加密不當,都有可能將公司的數據、信息暴露在外部網絡中,甚至有可能暴露員工的個人隱私。
很多公司這段時間採取遠程辦公,對遠程辦公的風險也應儘早識別、評估,以構建相匹配的風險和內控框架,使遠程辦公更便捷、更安全。
閱讀更多 中國內部審計協會 的文章
