遠傳拚資安首重客戶資料保護

遠傳電信從2004年開始，不惜投入2000萬美元的重金，全面強化網路及資訊安全工作流程，在2005年4月份通過BS7799安全認證，是全亞洲電信系統業者第5名，全臺第1名。

遠傳電信資訊科技事業部執行副總經理束宜鵬指出，BS7799強調的精神是跨部門的、全員動員的資訊安全，不僅僅靠單一部門就可以做得好。

從遠傳電信的工作流桯來看，資訊安全方面規畫的層次很分明，從門市申請、客戶帳單、內部人員訓練，強調資料保密與人員的訓練，甚至還作滲透測試來了解自身系統與門市端在網際網路的通訊安全，一直到資安認證，等於是將遠傳3600位員工大動員，全面性強化對客戶資料的保護。客戶資料為最高機密內外部人員無法複製

首先是從門市與經銷商著手，增加成本更換特製的三聯單，取代傳統式三聯單。以前申請行動電話號碼，客戶全部資料也會留存一份在經銷門市，現在，遠傳最新的標準作業是只有客戶的姓名與SIM卡資料出現，不會有地址、家中電話出現。

這種部分遮沒的三聯式分散複寫，將第三聯的客戶資料做部分遮沒，對遠傳來說成本增加了，但好處是複製及傳送過程，不會被有心人士作不必要的利用。另外，在補印帳單時，部分訊息也相同採取遮沒。在遠傳的網站客服中心上，說明著帳單格式已更改，要使用者先按連結看看新版帳單格式的說明。這也是提醒客戶對自身權益與帳單資料安全的流程服務之一。

除了外部人員的控管外，在內部員工作業安全管制措施，涵括了使用的設備功能的調整控制及員工安全認知。如：USB、瀏覽器、列印網際網路電子郵件等等，只要是可複製客戶資料的設備功能都列入管控，降低內部員工洩露客戶資料機密的可能性。束宜鵬說，每一季對員工都有一次資安考試，對於每天都有新同事加入的遠傳而言，這種線上考試相當具體且有效，達到99.8％的訓練效果。給駭客的任務──入侵我們的系統吧

對遠傳來說，在去年9月底到10月初之間，雇用一批有道德的「駭客」來進行滲透測試，是其為資訊安全所做的一項大膽創新的方式。

「不是去要他們『駭』別人的系統，而是設法入侵遠傳的系統。」束宜鵬說，這也是為了強化網際網路系統對於客戶資訊保護的做法之一，是一種具有道德的滲透測試，。

為什麼不是電腦中心，也不是內部作業系統，而是選擇開放程度最高的網際網路客服系統？束宜鵬說，目的是為了確保系統對顧客資料保護及改善的重點。

遠傳付了一大筆錢給這些駭客，測試自己的系統到底夠不夠安全，約定如果入侵遠傳系統成功後，要將入侵的方式及路徑完全告知，讓遠傳可以有根據作為改善重點。

束宜鵬認為，在整體規畫之後，透過國際機構BSi的BS7799認證，來確認安全管理驗證的通過，每隔半年再確認流程的執行徹底與否。遠傳認為，電信業者提供消費者安全無虞的通訊環境，保護客戶資料不外流，是龐大且重要的基礎工程。不惜投注2000萬美金為資安

遠傳電信總經理楊麟昇（Yang Nilson）在電信業已有相當多年的工作資歷，對於資訊安全格外重視，尤其在臺灣。

他回想起5、6年前在印尼工作時，當時許多不法業者複製使用者的SIM卡販賣，楊麟昇根據他技術認知的第一個反應是：「SIM卡不可能被複製！」但後來才得知確實有這種複製SIM卡的設備存在，幾乎可以破解GSM的所有系統，而且這個設備的來源正是臺灣。這項經驗，讓他後來到臺灣工作之後，格外重視資訊及網路安全。

「從2004年起，遠傳投資2000萬美金改善安全及防範措施。」楊麟昇說。尤其大家會很好奇，遠傳為什要雇用一批駭客來進行滲透測試，也是獲得楊麟昇支持後的大膽演出。「除了讓我們可以改善系統可能會有的安全漏洞，得知那些從事不法工作的人心裡的想法，更是我們的大收穫。」楊麟昇說。

此外，在工作流程裡，資訊的安全及使用，透過企業內部的專案實施，再透過企業外部的專業機構認證，楊麟昇認為，如此內外兼修，才能透徹地檢視流程裡的每一個環節，確保客戶資料的安全。