一組密碼讓企業「整週都無法出貨」？中小企業淪駭客獵物

記者許若茵／台北報導

數位發展部資通安全署近日發布「中小企業基本資安防護指引」，從帳號管理、設備與資料管理、資安意識培訓三個面向，協助企業以簡單、不用花大錢的方式建立資安基礎。

資安署指出，一組重複使用的密碼、一台三年未曾更新的桌機，看似日常，卻可能讓一間企業整週無法接單出貨。駭客偏好攻擊防護較薄弱的對象，因此沒有專職資安人力的中小企業，很容易成為阻力最小的入口。 資安防護不一定要花大錢買設備，關鍵在於應建立正確的作業流程與使用習慣 ，建議中小企業落實「帳號管理」、「設備和資料管理」與「資安意識培訓」資安三大面向。

資通安全署提醒，密碼要夠長，也要到處不一樣，建議至少15碼，可以使用好記的一串短語組成，或透過密碼管理工具生成、管理密碼，增加破解難度。每組帳號都有專屬密碼，就能大幅降低被破解的風險。

更多科技工作請上科技專區：https://techplus.1111.com.tw/

針對重要帳號，資通安全署認為，兩道鎖更安全，重要帳號登入時，除了輸入密碼，再透過手機接收驗證碼，或使用指紋等生物辨識進行確認。這樣即使密碼外洩，即便密碼外洩，若沒有手機上的驗證碼，駭客也無法登入。
不共用帳號：每位員工應有獨立帳號、禁止多人共用。員工離職當天則應立即停用帳戶，避免重要資料外流。

資通安全署強調，自動更新一定要開：不論是Windows還是常用軟體（如LINE、Chrome），都要開啟「自動更新」，並安裝防毒軟體，定期掃描系統、修補漏洞，讓駭客進不來。

資通安全署呼籲，企業英落實「3-2-1 備份原則」，也就是公司資料至少要有3份備份、存放在2種不同儲存媒體、至少1份異地存放，並建議其中1份要離線存放（如外接硬碟），這是企業在遇到勒索軟體攻擊時，能把資料救回來的機會。

資通安全署也提到，裝好設備第一件事，就是改密碼，像是攝影機、印表機、路由器等設備出廠時都使用相同的預設密碼，攻擊者對這些密碼瞭若指掌。設備連上網路後，第一步就是改掉預設密碼。

企業員工每天在處理的事，也正是攻擊者最常偽裝的信件主題，資通安全署指出，主旨寫著「報價單」、「請更換匯款帳號」一率小心再小心。建議企業內部建立一些內部規則：凡涉及權限變更、金流或檔案下載，一律先用電話向對方確認，不直接點選信中連結或附件。

資通安全署建議，若電腦出現不明程式、檔案突然被加密、系統異常緩慢，這些徵兆很容易被企業當成普通故障而忽略。發現異常時，第一步先中斷網路連線，第二步通報指定窗口，第三步保留現場畫面或紀錄。三個步驟不需要技術背景，任何員工都能執行。

資通安全署分享，企業可免費註冊「台灣電腦網路危機處理暨協調中心 (TWCERT/CC)」會員，可接收最新威脅警報，獲取即時的資安情資 。另外，也可透過指引中附件的「中小企業資安參考資料資源」，從中小企業網路大學校、國家資通安全研究院及TWCERT/CC等，獲取免費的資安防護資源。

科技社群討論區：https://pei.com.tw/feed/c/tech-plus

另外，為了讓企業快速評估，這份指引附帶了「中小企業基本資安防護自檢表」，列出了16項基礎檢核點，像是「密碼是否超過15碼？」、「是否使用 3-2-1 原則備份？」等，企業主只需勾選「是」或「否」，就能立刻知道自家的防禦漏洞在哪裡 。

資安署呼籲，資安並非額外的營運開銷，而是企業經營的基礎、更是加值企業價值的利器，透過這份簡淺易懂的指引，希望能與全國中小企業攜手，共同打造更安全、更具數位韌性的營運環境。