面對數據資安風暴 政府、企業、個人需養成資安危機意識
最近政、媒討論非常多的事件,電信業依照手機定位,進而分析、比對集會中參與活動的年齡以及政治取向,當然整體事件仍在查證有無違反個人資料保護法。但依據2023年5月16日立法院三讀通過「個人資料保護法」修正案加大罰鍰力道,針對「非公務機關」未採行適當之安全措施,導致個人資料被竊取、竄改、毀損、滅失或洩漏,將處2萬元~200萬元以下罰鍰,並限期改正,若限期未改善或情節重大,將處15萬元~1500萬元以下罰鍰;屆期未改正者,採按次處罰,有可能遊走於「個人資料保護法」觸碰邊緣。
政府首要任務:保護民眾的個資安全
2018年國家發展委員會提出智慧政府的發展藍圖,2019年1月內政部提出數位身分證的換發計畫,其影響層面廣大,行政院在2021年1月21日提出暫緩計畫執行,都因為涉及個資層面以及資安考量。
如果政府單位沒有盡一切可能確保國民個資的保護,一旦遭駭客竊取轉賣,甚至竄改,所影響的人民安全跟信用基礎就會被一夕摧毀,所以個資的保護是政府必須窮盡一切達成,並能有相對的便民舉措,企業更必須在使用個資時,善盡保護之責,並取得客戶同意方能進行相關商業開發的再利用,縱使所謂的去識別化,也必須在符合公益而非商業價值上的目的。
銀行、電信和大型企業可以有相對投資預算,進行資安防禦以及個資保護的治理與稽核,而台灣產業發展大多數的中小企業也不可輕忽,大型企業慣有的ROI(投資報酬)思維並不一體適用所有產業,中小企業應該在風險上考量避險以及遵法,因為就承擔損失的財務基礎,中小企業更應該做好基本的資安意識提升以及基本的資安防護,先就重要系統以及個資盤點對整體公司的資訊(IT)架構進行規劃,如此才能循序漸進,做好資安防護減少風險的衝擊。
採取安全管理保護 防止消費者個資被竊取
政府有鑑於個資保護的重要性,金管會先就金融、上市櫃企業已經進行兩波的行動資安治理,但緊接著為防止消費者的個資被竊取、竄改等,行政院數位發展部在2023年10月12日,發布實施「數位經濟相關產業個人資料檔案安全維護管理辦法」,只要是企業從事以網際網路方式零售商品的行業,包括軟體出版業、電腦程式設計、諮詢及相關服務業、第三方支付業等數位等「數位經濟相關產業」的業者,該類業者必須在2024年1月12日訂定「個資安全維護計畫書」,其計畫主要涵蓋內容是保存執行個資安全維護計畫書的紀錄至少5年,對於個資的蒐集、使用等必須採取適當保護以及安全管理,公司必須定義出治理以及相關的管理措施並建立制度。
一旦個資被竊取、竄改等事故必須在72小時內通報行政院數位發展部或是通知直轄市政府,副本仍必須通報數位發展部,後續應變機制以及對外通報和對當事人的通知都必須訂定相關措施,還有要建立刪除個資的機制,和後續維護個資正確性的系統性制度。
要特別提醒網購業者,通常網購公司的規模或是資本額都不會太大,因為大多數都是利基導向,也不囤積過多貨源而讓現金週轉產生擠兌,政府考量業務規模較小的業者無法分擔過多成本,因此採資本額達1,000萬元以上,或是保有個資筆數達5,000筆以上,才需每年至少一次實施及檢討改善安全計畫書。
以個資5,000筆的計算基礎,是否按照系統上的個資總和,或是個資在不同系統(如進銷存以及送貨)的使用總和計算?門檻並非全然的低,而是提醒業者及早規劃,因為初期的個資保護跟資安教育訓練措施並不會花費太高。
養成正確的資安意識 避免資安事件發生
建議網購業者或是一般微型跟小型企業至少在資安防護做到3項工作,第一項是「資安教育訓練」,每半年至少2~3個小時: 強化員工的資安意識,對於常見的駭客攻擊手法能有初步的判斷,養成正確的資安意識,在現今詐騙訊息以及釣魚郵件猖獗,一旦疏於確認可能就造成個資外洩,連帶影響生活上的不便利或是財物損失。
第二項是「社交工程演練」,也就是一般稱為「電子郵件警覺性測試」,超過92%以上的資安事件,起因都是因為釣魚郵件的檔案下載、照片點選以及不明網站連線,因此被植入後門程式或是惡意程式,導致後續的勒索軟體攻擊或是公司客戶資料庫外洩以及營運機密遭竊,透過演練可以強化公司同仁在簡訊以及郵件上的辦別真偽。
第三項則是「惡意程式檢測」,不同於一般安裝的防毒軟體,惡意程式檢測的重要目的是在於發現電腦、伺服主機的風險等級,該檢測是著重是行為分析,不同於防毒軟體的特徵碼掃毒,防毒軟體是針對已知的病毒,惡意程式則可以盡早發現檢測出風險等級高的端點設備,避免可能的資安事件。
企業在資安防護上的投資,以及在資安教育訓上所做的花費跟學習,都是著眼於公司保護個人資料,和免受資安事件攻擊,進而導致公司在財務上以及信譽上所造成的損失,規模小的企業所能承受的風險更低,資安防護是一種投資,如果僅當成費用談ROI(投資回報),那所有的防護進度將耗損在計算回收的討論階段,坐而言不如起而行,越早準備越能將企業資安防禦韌性進一步實現。