警政署刑事警察局科技研發科莊明雄科長提醒企業,除了隨時做好萬全的防禦準備外,同時還要有危機意識感,一旦發生駭客入侵,企業自身該有的應變與留意事項再哪裡? 莊明雄提醒重要的4W1H
一旦資料外洩事件發生,所牽動的相關法令、政策、企業營收、企業商譽、民眾個人隱私、財產與人身安全,所衍生出的威脅影響面,是項巨大的損失與高風險指數。普遍而言,資料外洩事件來自兩種外洩管道,企業本身內部資料外洩,另一種為外來駭客入侵企業內部竊取資料的外洩。
個資外洩事件飆高 直接開罰不須先命改正
我們細觀今年上半年,個資外洩事件的案件數,極為驚人的高,一件接著一件爆出,從一月初華航300多萬筆的會員資料遭受駭客入侵,且還接獲匿名的網路勒贖信件。緊接著 一月底,國內知名共享汽機車服務iRent會員個資外流,外流的筆數約莫40萬筆,這些外流資訊內容包含會員的身分證字號、緊急聯絡人與經過遮蔽的信用卡號等重要資訊。二月中旬,則為知名百貨業者,微風集團資料庫高達90萬用戶的個資資訊,包含訂單內容、供應商資料等,遭駭客入侵竊取且被放在駭客的論壇上兜售,同時微風集團亦收到勒索信,形成被雙重勒索的目標對象。
接二連三的大筆個資外洩事情的頻傳,政府同樣的也提出與再強化保護個資的對策,其中最為大家注意的是《個人資料保護法》,針對非公務機關遵守個資保護上的進一步要求與罰責方面,做了相當大幅度的修正。今年五月立法院三讀通過《個人資料保護法》部分條文中的48條修正案,經總統於112年5月13日公布,於6月2日正式施行。主要目的為促使非公務機關投入個資保護,加強打擊詐騙,提升資安防護作為,修正的重點為提高個資外洩的罰則,對屆期未改正和情節重大者,處罰上限從20萬提高到1500萬,並且可以直接開罰不須先命改正。並且也將設置個資保護獨立監督機關為「個人資料保護委員會」預計於今年10月初成立籌備處。
企業科技防弊 個資防禦舉足輕重
除了看到政府法令政策的實行外,民間企業團體同樣關注與個人資料保護、防詐騙等相關議題,今年七月由中華民國內部稽核協會 、中華民國電腦稽核協會、台灣舞弊防治與鑑識協會,三個單位共同主辦「企業科技防弊論壇」活動,活動起源於三個協會有個共同的感受,對於新興科技與多元應用相繼產生,替人們生活帶來許多便利,從加密貨幣市場的交易,雲端多元性質的交易等方式,但同時伴隨的隱憂則是,交易安全上風險的未知與可能遇到的駭客威脅挑戰。因此,主辦方邀請警政署刑事警察局科技研發科莊明雄科長,針對企業如何運用資通安全技術,強化個資保護和企業遇駭如何處變不驚,來進行分享。
目前任職於警政署刑事警察局科技研發科莊明雄科長,其實戰經驗成果豐厚,真槍實彈,他經歷科技犯罪、165反詐騙、刑事局電信偵查的職場領域累積超過20年之久,他表示國內企業常見的個資外洩事件,大致可歸納四個原因:
(1) 網站伺服器遭攻擊,例如SQL Injection、XSS
(2) 主機防護不足,例如API介接、IP存取問題
(3) 系統後臺弱密碼,例如密碼複雜度的因素、遭到暴力破解或是密碼驗證機制出了問題。
(4) 社交郵件或釣魚郵件。