現時不少企業和機構都會給予旗下員工及合作伙伴特別權限,自由進出及管理它們的關鍵資訊科技系統及網絡。

這種名為「特權存取」的操作模式,雖然可以增加機構營運的彈性,但若管理不周,會令該機構暴露於黑客攻擊或內部員工濫用的雙重威脅。2013年12月美國知名連鎖商店Target外洩一億一千萬個客戶資料,以及去年3月孟加拉中央銀行的海外帳戶遭黑客盜走八千一百萬美元等保安事故,便是機構未有做好「特權存取」管理的例子。

為了解本港機構採用「特權存取」的情況及相關的管理措施,香港生產力促進局去年12月進行調查,結果發現有18%的受訪機構曾遇到「特權存取」的相關保安問題,例如受到黑客攻擊或遭內部員工濫用。另外,逾三成的受訪機構把有「特權存取」權限的共享帳戶開放給內部人員或外界合作夥伴,當中有25%更沒有採取額外的保安措施,情況令人關注。

縱使「特權存取」在大型企業和機構的應用較為普遍,但並不等於中小企能獨善其身,因為它們也會與大企業有生意來往,進行大額交易,亦會使用共享帳戶處理業務,所以同樣要承受保安風險。企業若不做好「特權存取」管理,會令黑客有機可乘或遭員工胡亂行使權限,引致服務中斷、數據洩露、財務損失、聲譽受損,甚至要承擔有關法律責任等嚴重後果。至於有何妙法提升「特權存取」管理,留待下回揭曉。