自從美國的個人資料處理廠商ChoicePoint在2005年爆發資料被竊事件開始,資料外洩事件就陸續爆發,像是CitiFinancial的磁帶在運送過程中遺失,使得近4百萬筆帳戶資料外洩,另一家處理信用卡的公司,則被竊取了近4千萬筆信用卡用戶資料;在2006年,美國退役軍人事務部則因為一臺筆記型電腦被偷,而導致2千8百萬筆退役軍人的個人資料外洩。據Privacy Rights Clearinghouse這個追蹤個人隱私情報組織的統計,從2005年2月ChoicePoint事件爆發開始,截至2006年12月,美國民眾的個人資料外洩的總數已經超過1億筆。

然而不僅只是美國如此,全球的資料外洩事件像是滾雪球一樣越滾越大,上個月,英國政府爆發最大宗的個人資料外洩事件,有2片內含2千5百萬筆英國民眾個人資料的光碟片,在寄送的過程中遺失了,而且這兩片光碟內的資料完全沒有加密保護,任何人拿到都可以讀取這數千萬筆的個人資料;然而,事隔1個月,英國政府又再度遺失內含個人資料的光碟片,這次有6千萬筆車籍資料外洩。

臺灣目前雖然仍未爆發數量龐大到上千萬筆的單一個資外洩事件,但資料外洩事件近來層出不窮,今年9月刑事警察局破獲一宗駭客組織竊取個人資料的案件,在這個駭客組織查到2百多萬筆網路服務商的客戶電子郵件帳號與密碼,以及數十萬筆網路論壇的使用者帳號、密碼、住址等個人資料。

最近,線上購物網站也陸續爆發個資外洩事件,然而,這些被報導的資料外洩事件仍只是冰山一角,有更多資料外洩事件的受害者不願對外曝光,實際情況絕非我們所看到的,資料外洩事件的嚴重性也絕非我們所想像的。

本期的封面故事,我們報導企業資料外洩事件。我們採訪有多年資安鑑識經驗的顧問林宏嘉,從他提出的幾個代表性案件,我們就不難理解資料外洩是多麼容易發生,因為各個環節都有可能會造成資料外洩,因而要防範資料外洩也就不是部署設備而已。

為了要讓讀者感受到企業機祕資料外洩事件有多嚴重,員工外洩機祕資料有多容易,我們決定把這幾個真實發生在臺灣企業的資料外洩事件給寫出來,讓你近距離感受到這個問題的嚴重性。

由於浮上檯面的資料外洩事件,主要原因都是因為駭客有心竊取,很容易讓人把資料外洩事件跟駭客入侵畫上等號;有能力防範者,如果對此有所誤解,可能會把防護的主力都放在網路及主機的防護,而疏忽了人的問題;沒有能力防範者,面對駭客入侵也常會有鴕鳥心態,既然自身的技能比不上駭客,反正做什麼也都於事無補。這樣的誤解都會讓防範資料外洩更加難解。

防範資料外洩就像做好資訊安全管理一樣,非得從「人」「科技」「流程」三個環節同步下手不可,少了任一個環節,就會出現漏洞而造成防護瓦解;為了杜絕資料外洩伴隨而來的嚴格的管控措施,絕對會造成員工的反彈,你該怎麼說服員工呢?或許你可以去中國花3塊人民幣買一本臺灣高科技公司研發資料的影印本,讓員工理解資料外洩是這麼容易、這麼真實;或者,你可以告訴他們本期封面故事所報導的企業資料外洩案發現場。

專欄作者

熱門新聞

Advertisement