記者蕭白雪、彭慧明、編譯陳韻涵/專題報導
2017年在美國和台灣兩地紛傳影響深遠的個資外洩事件,美國 Equifax信用公司遭駭,高達1億4550萬筆顧客資料遭竊;台灣雄獅旅遊也有36萬筆個資流出,遭詐騙集團使用,客戶因此提出集體訴訟。
在民眾越來越重視個人隱私的趨勢下,雖然企業自認也是受害人,但對於資安、客戶個資的重要性,卻無法再視而不見。
台灣達文西個資暨高科技法律事務所所長葉奇鑫分析,當系統越來越複雜、處理的資料越來越龐大,資安漏洞可能就越多,主要危害來自駭客、內鬼及內控不及格,其中又以駭客造成的危害最大,可能一駭就取得數百萬筆、甚至上億筆的資料。
不少企業得知被駭時默默不敢聲張,直到客戶資料被轉賣、或流入犯罪集團手中,客戶才發現個資外洩,企業就可能面臨求償,甚至賠上企業形象。
小企業科技(smallbiztechnology.com)網站技術傳教士雷伊(Ramon Ray)指出,駭客以前抱持娛樂和炫耀心態入侵他人電腦,但現在的數位竊賊會偷取任何有價值的個資、金融紀錄、智慧財產等數據,再轉賣給第三方圖利。
雷伊也傳授八項基本措施,可防企業數據淪落數位竊賊之手:
1.首要執行安全審查
要保護數據免於遭竊或被駭,得先了解需要保護的有價值數據有哪些、存在哪裡;執行安全審查成為關鍵的第一步,建議企業與專業人士合作審查整個資訊科技(IT)基礎設備,包括電腦、網路和行動裝置。
2.教育員工減少疏漏
員工是企業資訊安全的防護前線,雖然駭客可以遠端存取數據,但機靈警覺的員工、顧問、夥伴或供應商可確保造成數據安全疏漏的人為疏失降到最低。
3.加密數據以防被竊
加密是避免數據遭竊的強大安全工具,硬碟、USB隨身碟等儲存裝置、行動裝置、雲端儲存空間和通訊傳輸都要加密,就算不慎丟失、被竊或遇駭,相關數據也不致於外洩。
4.維持強大安全軟體
擁有最新的安全軟體、網路瀏覽器和操作系統是抵禦病毒、惡意軟體和網路攻擊的最佳方式,許多軟體會自動更新病毒碼。
5.備份資料以防遺失
安全防護很重要,但萬一數據不慎丟失確無法復原就糟了;確保數據妥善備份且測試備份檔,確認這份資料是企業需要的最新版本。
6.傳送勿用公共網路
隨著行動裝置的普及,愈來愈多資料不是存公司電腦,而是個人手機、平板電腦或筆電,這些遠離企業安全防護網的裝置成為駭客下手的目標;這些行動裝置往往透過客戶端、咖啡廳等公共網路的免費無線網路(Wi-Fi)連網,這些Wi-Fi不一定安全,盡可能透過個人手機網路連網較可靠。
7.建置多重安全技術
破壞數據的病毒並非唯一安全威脅,駭客及其他攻擊更加複雜;在所有設備及裝置中建置多重安全技術相當重要,這些技術能夠層層阻擋外來攻擊。
8.評估自備裝置風險
愈來愈多企業出自增加生產力和降低成本的考量,推行「個人自備裝置」政策,但資方往往低估了資訊安全風險;透過個人設備存取敏感企業資訊,表示這些重要資料在公司以外、缺乏資安保障的地方流竄。
大企業限制部份檔案移轉至非企業設備,而這得依靠勞資雙方的信任才能確保敏感資訊不會外流。
本文由聯合報系授權轉載