2021.09.08
文/林欣曄 圖/網擎資訊(Openfind)官網
企業不可輕忽的資安議題
在數位轉型的時代,企業內外的溝通方式愈趨多元,也間接改變了業界生態與工作方式,不僅 BYOD(Bring Your Own Device)成為常態,部分企業也逐漸開始招聘遠端工作者。在數位轉型工程中,不僅既有流程發生變動,更衝擊企業過往所賴以遵循的資訊安全規範。隨著資安事件頻與資安議題不斷延燒,企業該如何在數位轉型的道路上同時兼顧「資訊安全」,儼然成為企業在轉型道路上面臨的難題之一,而Openfind的數位轉型之路,便與資安風險的管控需求息息相關。
公司簡介
網擎資訊軟體股份有限公司(Openfind Information Technology, Inc. ,以下簡稱Openfind) 創立於1998 年,資本額新台幣一億九千萬元。很早就以郵件歸檔、郵件安全產品站穩市場。除了在政府市場中拿下42%的市佔,還進軍國際,取得150多個日本公部門訂單,現在版圖也延伸到東南亞及非洲奈及利亞、南非等地。此外,網擎資訊也協助國內52家金融業者強化郵件稽核、加密、歸檔/備援、個資盤點等,以滿足金管會拉高資通安全要求。
Openfind產品與服務均以雲端為核心,協助優化企業治理所需的訊息溝通與協作等管理機制,近年持續在人工智慧的基礎建設上,結合郵件過濾防護與郵件備份歸檔的有效管理,打造出以盾牌為主要概念的新世代安全溝通協作平台,提供企業更安全、便利的數位工作場所。
轉型動機
新冠疫情成為最大推手
隨著 2020 年初的新冠肺炎(COVID-19)肆虐,疫情日益嚴重,在不知何時會被迫在家上班的壓力下,企業開始思考與模擬疫情下的運作模式,進而發現,不論是讓員工們能維持正常工作,繼而維持產能,在在成為各企業的重要課題。
在數位轉型的過程中,往往最讓推動者擔心的是,變更員工習慣所產生的反彈,尤其若是影響到高階主管或重要業務流程,將會成為極大的阻力;以檔案的編輯與存取為例,企業內通常會將公用檔案儲存於自建的檔案系統,並僅允許從內網取得檔案以減少風險;若需新增修改檔案,員工則要在個人電腦編輯,再定期上傳至內部檔案系統。但當此一架構面臨在家上班時,員工必須以VPN連線至公司內部網路,複製檔案加以編輯,或使用遠端桌面,使操作順暢度大打折扣,也影響了工作效率。
同時,雲端資安的需求比起過往明顯增加,需要多家資安業者的方案才能實現較為週全的防護,以營造企業多點辦公、資料流通的資安環境。
轉型策略
從辦公室的日常開始,企業資安「決戰在雲端」
「以前的資安很簡單,只要安裝防毒軟體即可,而今已大不同,」Openfind執行長廖長健認為:「資訊遍佈在手機、雲端上,企業的數位資產放置於各處,過去企業抱持不使用雲就可以確保安全,而現在企業已不再是考慮評估上不上雲,而是要上哪個雲、哪幾個雲。」
根據Openfind的經驗,資訊安全猶如馬斯洛的需求金字塔,主要可分為三個層次。首先,在最普遍的第一個層次上,企業需要「與世界交通」,透過自建系統或雲端服務來收發信件,使用諸如Openfind的Mail2000、微軟的Exchange Server等自建系統,或Openfind的MailCloud、Google的Gmail等雲端服務。金字塔的第二層是「解決基本問題」,也就是資安議題,信件威脅是企業現今的一大痛點,包括垃圾信、病毒、勒索軟體、網路釣魚、商業詐騙信等。其中商業詐騙信為國內危害最大的網路犯罪,2017年iThome於發佈的調查顯示,商業詐騙導致的金額高達3.6億美元。
在「解決基本問題」後,位於金字塔頂層的企業則持續尋求「符合法規」,也就是信件稽核,包括滿足供應鏈夥伴的要求、主管機關的稽核要求、落實在地化稽核政策等。在這個部分,Openfind提供的解方是OSecure,可執行外寄信件檢查,以避免企業或個人機敏資料流出,例如偵測信件中是否夾帶身分證字號等個字、是否遺漏免責聲明,或將信件誤寄給競爭對手等。
圖說:Openfind雲端資安服務架構(資料來源:取自Openfind官網,見參考資料)
轉型方向與做法
擁抱雲端服務,提高資安意識
在數位轉型的過程中所必須建立的基礎建設與軟硬體,除了規劃的時間,也需要不少預算和人力部署,並循序漸進引導員工使用。遇上COVID-19突如其來的疫情,迫使企業加快建置導入的腳步時,使用雲端架構或許是企業可考慮的選項之一,舉凡Google、微軟、以及Openfind均可提供相關服務,若選擇通過ISO 27001、ISO 27550等國際資安及隱私認證的廠商,即可省下自行建置的時間與成本,快速導入安全且可擴增的資訊系統,即刻體驗新型態的工作方式,跨出數位轉型的第一步。
在iThome 2016年CIO大調查發現,近年來已有近六成比例的企業嘗試採用雲端服務。企業積極走向雲端,不外乎著眼於擴充效益、節省成本,以及獲取更高端的維運架構,原本需投入於軟硬體建置、授權處理、系統維運與定期升級等多項成本,在雲端服務內除可透過費用攤提,降低一次性開銷外,也能降低IT人員在資安管理上的負擔。企業必備的電子郵件或Gateway伺服器,也逐步朝向雲端代管,尤其是與反垃圾郵件相關的系統服務更適合導向雲端化,以發揮資安聯防的功效。
由於100%自主開發,使Openfind得以快速因應各地法規遵循需求而生的功能規格,滿足不同目標市場的郵件資安新議題、新需求。以台灣為例,網擎連續三年通過了政府的弱點掃瞄及雲端資安驗測,得以名列政府共同供應契約的資格廠商。目前網擎雲端郵件產品具備SLA 99.95%、資料中心設於台灣,可與企業資安監控中心(SOC)無痛整合,符合政府資安稽核條件。藉由整合郵件雲歸檔備援,與內部(防資料外洩、權限控管、加密等)、外部(APT偵測、沙箱)安全方案,以單一平台(One Platform)協助企業做好資安規劃,防禦網路詐騙(14.4%)、個資外洩(18.5%)及帳號盜用(44.4%)三大資安問題,且成功因應金管會、國內資通安全管理法及歐盟GDPR法規遵循要求。
利害關係人
1. 和沛科技
2. 區塊科技 BlockChain Security Corp.
3. 是方電訊、關貿網路、群環科技
過去十年間,企業上雲成為數位轉型最重要的IT現代化策略之一。同時,企業也漸漸走向無紙化辦公模式,以減少繁瑣的運營環節並提高工作效率。因此,2020年Openfind與區塊科技攜手合作,以區塊鏈技術與雲端信箱服務結合,推出「e-Attestor 數位存證信函服務」,透過區塊科技提供的智財存證平台,以不可否認、不可篡改的區塊鏈技術,舉證研發資料生成時間,結合Openfind AEP作為企業完整的檔案平台系統,一方面追求資料分享與管理效率的提升,另一方面也透過防制勒索軟體、遠端共編等應用,支援各項智財存證的加值。
此外,Openfind也與是方電訊、關貿網路、群環科技共組「雲端資安生態圈聯盟」,由Openfind專精於雲端檔案、電子信件安全等項目,是方電訊提供雲端的IaaS、PaaS以及針對SaaS需求建立App Cloud等服務,關貿網路是在資安檢測、顧問、聯防等領域發揮實務經驗,群環科技則負責企業常用的Office 365、智慧辦公室等長期經營的領域。四方結盟的目標,是建構雲端資安防護的整備度,協助企業在雲端環境的應用,以加速實現數位轉型。
轉型成效
解決難題,關鍵在於客製化能力
以關貿與Openfind的合作為例。回顧90年代以前,在通關作業時間上,空運平均為4小時,海運作業則長達6小時;因此,行政院核定成立「貨物通關自動化規劃推行小組」,實行通關流程自動化、標準化與系統化的推動,使空運、海運平均通關時間分別縮減為0.216小時與2.049小時。1996年起,此一小組轉型為民營化企業,即是「關貿網路」(以下簡稱關貿)。
關貿的角色複雜,既有通關網路特許執照、二類電信執照,也身兼ASP、SI等系統整合商的角色,還必須受到財政部所訂定公股規範的約束。面對諸多法遵要求,其郵件系統需設置各種客製化規則,如連結關貿網路SOC、系統間協力阻擋帳號密碼猜測行為,或設計出相應的特殊報表格式。
因應上述調整需求,關貿採用Openfind提供的MailAudit和MailBase服務。MailAudit 的「資料外洩防護 (DLP)」功能,流量管制 (QoS)功能,可由用戶先行設置白名單,攔截寄送給白名單以外的機敏郵件並可提供用戶設立關鍵字,來辨識並優先處理重要郵件。在導入MailAudit和MailBase服務後,有鑑於現有客戶對資安的要求,關貿也與Openfind進行專案合作,整合雙方技術共同發展資安聯防與雲端系統,提升對現有 2,800 多家物流業者、8,000 餘家流通業供應商等用戶的服務。
案例啟發
不只是流程轉型,資安思維也需跟著轉型
在企業實施數位轉型時,常須同步評估對內部資料安全性的保障,以防流程改造產生疏失,導致其內部或客戶資料外流,甚至受到駭客的惡意攻擊。以往的資安防護習慣是建置私有雲,以內外實體隔離的方式將可能產生的資安漏洞降到最低,但在現今的資安要求下,比起企業各自單打獨鬥,更需要有聯防的資安意識。
為了快速回應後疫情時代企業溝通協作的轉型契機與市場需求,為客戶提升價值,Openfind開始朝多邊平台的角色邁進,透過與專業夥伴廠商合作開發,連結廣大的企業客戶群,以郵件溝通與檔案分享平台為核心,提供雲端共編、檔案稽核、智財存證…等豐富應用,來滿足數位轉型趨勢下,不同產業客戶的最新需求。
在疫情的推力下,數位轉型幾乎可說是企業不得不面對的關卡,近年來政府持續鼓勵、透過相關補助,協助降低中小企業的轉型負擔。透過Openfind的案例,企也可嘗試思考運用資服業者或新創提供的技術,從辦公室的日常循序漸進,先整備數位基礎工作環境,再依據痛點開展後續的轉型流程,進而滾動出更具價值的新商務模式。
參考資料:
[1] 區塊客(2020/06/05)。台灣新創「區塊科技」夥 Openfind 合推數位資料存證安全方案
2021/06/22取自https://blockcast.it/2020/06/05/chain-security-openfind-launches-digital-data-storage-security-solution/
[2] 其他相關資料參見網擎資訊(Openfind)官網
2020/06/28取自https://www.openfind.com.tw/