2012-10-31

個資法爭議多 專家:法務部應示範合理使用

 個資法爭議多 專家:法務部應示範合理使用


  立法院2010年5月三讀修正通過「個資法」,但外界認為關於資料蒐集處理利用等相關條文過於嚴苛,因此行政院決定分階段施行,並將窒礙難行的條文再行修正、送至立法院審議,但這項做法遭學者批評可能違憲。另外,在個資法上路後,社會擔心觸法,紛紛從嚴解釋,造成執行上的困難,法律專家認為,法務部應該示範如何合理使用個資,以消弭社會的恐懼。

◎個資法窒礙難行條文多 決分階段實施

  「個資法」於2010年5月修正公布,但外界認為第六條有關特種資料蒐集處理利用要件,以及第54條有關在該法施行前間接蒐集的個人資料應於1年內完成告知義務等規定過於嚴苛。因此,除了上述有爭議的部分外,其餘條文10月起實施,法務部並另提「個人資料保護法」第六條、41條、45條及54條修正草案,送立法院審議。

◎學者憂法務部恐違憲

  法務部分階段實施「個資法」,遭學者批評違憲。台灣大學法律系教授顏厥安認為,法務部若認為條文有窒礙難行之處,就應請行政院提覆議,不能只選對自己有利的方式施行;他建議立法院拒審修正草案,並將草案退回行政院。顏厥安說:『(原音)如果授權行政院訂定施行日期,可以解釋為包括可選擇哪些條文施行、哪些條文不施行,這就變成憲法層級的選擇性執法,立法院通過的法律案會變成僅供參考、可供選擇,這是對權力分立的巨大挑戰,與對依法行政的否定,立法院是絕對不能接受這種行政權恣意濫權。』

  國民黨立委呂學樟則表示,修法期間,社會即反映不同意見,但法務部認為一切沒有問題,所以最後依照法務部版本修正,如今卻出現部分法規窒礙難行,法務部應全權負責。

◎法部:覆議期短 作業不及

  面對各界批評,法務部次長陳明堂強調,「個資法」在十多年前開始修法,有其時空背景,前年修正通過後,各界才強烈反映窒礙難行,法務部已來不及請行政院提覆議,所以才會決定分階段實施,絕沒有侵犯立法權的意思。他說:『(原音)在11年前開始修法時,最主要參考歐盟,歐盟當時最嚴格,其他各國寬嚴不一。一路修法以來,我們也請各界提供意見,當時反映並沒有那麼強烈,99年(2010年)修法完了之後,我們並不是不覆議,因為覆議期只有10天,過了覆議期以後各界反應才非常強烈,說會造成社會上很多問題,因此法務部才沒有即時的報給行政院提覆議,這一點是原先始料未及的。』

  陳明堂也指出,承辦相關業務的法律事務司人力共20人,其中能辦理法律業務的只有17人,「人少事繁」也是造成延宕處理的原因之一。

◎個資法上路亂象多 專家:法務部應示範


  另一方面,即使「個資法」無爭議部分已先行上路,仍不免出現亂象。像是各機關為了避免觸法,紛紛從嚴解釋法條,陸續出現起訴書隱蔽當事人姓名,導致內容宛如無字天書;甚至有區公所不願提供名冊,使得地方宮廟發不出重陽敬老金,都造成實務上的困難。

  該如何在保護個人資料與民眾「知」的權利間取得平衡?達文西個資暨高科技法律事務所負責人葉奇鑫認為,台灣社會陷入「個資法恐慌期」,當各界都不知所措時,法務部有責任帶頭示範如何正確解釋「個資法」,安撫民心。他說:『(原音)林益世這個事情是知名公共人物的重大案件,這絕對是社會矚目的公義性案件,但是法務部公布的起訴書有900多個OOXX,這其實不是法律問題,是腦袋解釋上有問題。尤其法務部他自己是法的主管機關,當他自己這樣用法律時,會影響到其他機關,甚至民間企業,所以我覺得法務部要做正確、合理使用個資的示範。』

  葉奇鑫表示,台灣「個資法」參考世界各國立法例,條文本身沒有太大問題,他舉例,英國皇家檢察署日前公布性侵集團成員的所有個人資料,但因為與「公義」相關,所以並未違反法律規定。雖然台灣也已經將「公義」原則入法,但各界仍非常「惶恐」,所以有必要轉換腦袋與法律認知,勇於詮釋法律,合理使用個人資料。

  在網路興盛、詐欺犯罪猖獗的今日,個人資料保護的確有其必要,個資法的施行也讓台灣跟上世界趨勢,只是在這項法案實施的磨合期間,相關單位必須負起說明及引導的責任,建立清楚的規範,才不會讓個資的保護遭到過度解釋,進而影響到整個社會的利益。


轉載自《中央廣播電台》

2012-10-30

BS 10012個資保護標準的10大實務作法

BS 10012個資保護標準的10大實務作法



臺灣新版《個人資料保護法》制定都參考APEC和OECD的隱私權綱領,而英國BSI在2009年6月推出的英國個人資料保護標準BS 10012,也在同樣的參考基礎上,制定一套保護個資框架與實務作法。

勤業眾信副總經理萬幼筠以及臺灣BSI副總經理蒲樹盛都認為,BS 10012透過一套完整的P(規畫)、D(執行)、C(稽核)和A(改善)的循環流程,建立一套完善個資保護的框架和最佳實務(Best Practice),不論新版個資法施行細則是否已經完成制定,同樣具有參考價值。

目前許多政府部門,為了讓個資保護的作法能夠從點擴及線與面,也接受BS 10012相關的教育訓練,作為各政府機關執行個資保護作為時的重要參考框架。


正確心態是個資保護的第一要務   
新版個資法的刑責普遍加重,公司主管也負有刑責,許多企業在考量因應個資法的同時,第一考慮的點就是「如何避免被告」,而且相關的資安或個資保護措施,也都奠基在不被告或者是被告知後,可以順利脫身的基礎上而來。

但是,蒲樹盛認為,一旦企業心態有所偏頗,個資保護就容易淪為虛應故事、炒短線的作法,便無法從點擴及到線和面。他說:「這樣的個資保護作法,遲早會因為不夠深入或面向不夠廣,而造成個資外洩的疏漏。」

為什麼個資保護第一要務就是匡正心態,蒲樹盛以「密件副本」的概念做說明。他指出,許多有個資保護概念的人在寄送電子郵件時,就會習慣性把普遍多數的收件人名單列入密件副本中,避免電子郵件被收集;但這種密件副本的觀念卻不一定深入到每個電子郵件收發者的身上。這也如同企業對個資保護的概念,如果不能深入到每一個同仁的心理,無意間的小動作,例如一時疏忽,把所有收件人都列在收件者或者副本收件者的欄位中,類似因為無意動作導致的資料外洩,也可能造成很大的客戶資料外洩後遺症。
臺灣BSI副總經理蒲樹盛強調,企業做個資保護不應該從避免被告的角度出發,唯有以同理心保護客戶個資,才能做到線和面的個資保護。

蒲樹盛強調,客戶信任企業而將寶貴的個人資料交付企業使用,企業理應負起完善的保護之責。但是,目前普遍現象都是,企業多從「如何不被告」或者是「可以證明已經做好相關個資防護措施」的角度所做的個資防護措施。

這種目的性的作為,通常是哪裡有洞補哪裡,在無法深入企業流程進行個資盤點,無法了解企業重要的個資有哪些,會經過哪些部門與作業流程,一個有意或無意的疏失,都可能造成嚴重個資外洩。就像是房屋捉漏一樣,蒲樹盛說,若不能找到漏水的源頭,只是修補好漏水處,永遠會有再次漏水的可能性。

「企業是不是真的站在保護客戶個資的立場來做個資保護措施,深入的程度一定和只是避免被告有極大的差異。」蒲樹盛說道。也因此,他建議臺灣企業在進行個資保護時,一定要有正確的心態,如此一來,相關個資保護的作法、方向才會對,才不至於造成方向偏差。

不過,蒲樹盛也觀察到,現在許多企業還沒進行相關的個資保護措施,有時候是高階主管還沒有意識到新版個資法對企業影響的深入層面。

目前常見的現象可能是,單就法律面而言,新版個資法對個資保護的精神和舊版類似,所以法務部門不認為對企業影響層面會比舊法更深入,所以就沒有跟公司高層提醒新版個資法的影響和嚴重性。就IT部門而言,IT部門能掌控的多為電子資料檔案,如果有導入相關的資安政策,就已經連帶做好相關的個資保護,不是認為沒有必要再提醒新版個資法對企業的衝擊,就是認為,IT部門沒有能力承擔個資保護之責,反而直接或間接地規避類似的提醒責任。

對於這些現象,蒲樹盛認為,唯有多從正面積極的角度出發,鼓勵企業內各部門重視個資保護的重要性與價值,才可能完善個資保護的作法。「畢竟,個資保護不是單一部門的責任,而是全公司每個同仁的共通責任。」他說。

在ISO 27001基礎加上BS 10012作法
萬幼筠表示,勤業眾信花2年多的時間,歸納出一套企業個資保護的方法論。從協助客戶逐步完善個資保護的實務經驗,加上參考ISO 27001資安認證和BS 10012(英國個人資料保護標準)的資訊安全框架和個資保護的實務作法,以及從訴訟原則上的「沒有故意」、「沒有過失」、「善盡善良管理人之責」和「沒有不可抗力因素」的角度,發展出這套方法論的框架。但他強調,目前這一套方法論還沒有對應施行細則,仍有一些細節之處需要調整,但整體企業個資保護方向仍是正確的。

根據勤業眾信過去推動ISO 27001資訊安全認證的經驗,個人資料只是資訊資產的一部份而已,若單純以ISO 27001的資安管理框架來看,萬幼筠認為,距離企業要做好個資保護,仍有一段差距。因此,為了完善企業個資保護的實務作法,勤業眾信參考英國國家標準局(BSI)在2009年6月推出的BS 10012標準,參考其個資保護管理實務上PDCA的作法,完善勤業眾信個資保護的方法論。

BS 10012非常侷限在個人資料的保護,強調深度確保個人資料安全的實務作法。蒲樹盛表示,ISO 27001資安認證所囊括的範圍,除了個人資料以外,還包含營業秘密、財務資訊等其他機密資料,廣度較個資保護為廣,但對於專門個資保護的深度較淺。蒲樹盛說:「ISO 27001是資安的基本防護架構,而BS 10012則針對個人資料提供深度保護,兩者相輔相成。」他認為,企業也可趁此時利用BS 10012的個資保護框架,重新檢查每一個個資保護環節是否符合個資法的規範。

萬幼筠說,BS 10012是一套個資保護框架,也是企業進行個資保護管理PDCA實務作法的國際標準,不僅符合臺灣《個人資料保護法》的立法精神,更是目前少數提供個資保護實務作法的標準。萬幼筠認為,對於有真正落實、深化ISO 27001資安認證的企業,因應新版《個人資料保護法》的來臨,可以新增加BS 10012的實務作法,藉此完善企業對個人資料的保護措施。


作法 1 形成內部共識、制訂個資保護政策
《個人資料保護法》過關後,將直接衝擊許多企業內部現有的作業流程,企業是否已經正視到該法一旦實施後,將對企業造成實質衝擊,而內部如何因應這樣的衝擊是否有共識,才是企業是否已經做好新版個資法應對的證明。

萬幼筠表示,新版《個人資料保護法》中的「可歸責性」(Accountability)是一個重要的立法精神,由於未來新法加重企業刑事責任和提高民事賠償上限,企業面臨個資外洩或不當使用的風險比以往高出許多,個人資料的保護就不能由兼職單位或人員負責控管,制訂個資保護政策、成立管控個資專責單位,則是企業正視新版個資法衝擊的第一步。

為了證明企業的確重視個資保護,萬幼筠認為,這樣的個資控管專責組織,也應該清楚明列在公司組織架構表和工作執掌說明內容上,以示慎重。他也說,目前電子化檔案可以由IT部門作為電子化個資的中控單位,但紙本個資則沒有任何單位可以作為個資控管單位。因此,公司個資管控專責單位的組織架構和工作說明,更顯得重要。

蒲樹盛對此表示同意,他認為,企業內對《個人資料保護法》因應如果有共識,第一件事情就是制定個資保護的政策,為了符合BS 10012規範,就應該攤開組織表,審視每個部門的功能執掌,並設立一個專責的個資管理單位,稱之為「Data Controller」,負責個資的蒐集、使用、傳遞、銷毀和保存。蒲樹盛表示,個資發送給誰、又被轉送給誰,中間所有傳遞的軌跡流程,都應該有專責的人或單位負責。


隱私權衝擊分析(Privacy Impact Assessment,簡稱PIA)主要是為了點出,各種系統在開發過程中,可能觸發的個資和隱私權議題。一般而言,為了讓隱私權衝擊分析更有效率,這會是日常流程的一部份,而透過隱私權衝擊分析,企業可以確保一個新系統在開發的過程中,都能符合各種法規遵循、公司治理、客戶和商業隱私保護的需求。

舉例而言,如果銀行要作隱私權衝擊分析,就必須先看過所有業務流程,然後挑選內含個人資料的資訊流,例如,信用卡、財富管理、客戶服務等有個資的應用系統,再使用分析方法篩選出具有可識別個人身分的系統作分析評估。

作法 2 進行個人資料盤點、確定範圍
《個人資料保護法》通過後,企業也必須回頭審視手邊擁有的個人資料,是否是當事人提供或間接蒐集而來,而這些個資使用目的是否已有變更,這些個資狀態都攸關企業未來在使用這些個資時,是否必須再取得當事人同意。

萬幼筠指出,機關企業應該從業務流程的資訊流,去盤點企業目前所擁有的個資種類、數量和形式等,企業必須盤點到底有哪些個人資料,而這些個資來源是直接或者是間接蒐集而來的。要做個資盤點,蒲樹盛說,從資料的生命周期來看個資盤點是最適當的方式之一,從規畫、教育訓練、個資盤點並產生類別清單、個資流向、個資歷程等,就可以清楚掌握每一個資料的來龍去脈。

舉例而言,若企業內有一個會員申請的資料,除了要從資料的生命周期確定這份會員資料中,哪些是重要的、企業需保護的個資?這份會員申請單會流經哪些部門?有哪些部門或同仁會使用這份個資?在使用的過程中,是否允許其他人複製使用?這份個資最終會以何種形式儲存在哪個部門或人員手中?而最後的資料銷毀流程,是誰負責?又是以何種型態處理呢?

目前越來越多的資料是儲存在各種應用系統中,萬幼筠以金融業為例,一間金控銀行有2千臺伺服器,2百個不同資料庫,每個資料庫有超過20個以上的資料表。若進一步分析每個資料表中「ID」欄位的意義,到底指的是個人身分證字號,還是使用者登入帳號,這些都必須看到程式碼才可能知道。

萬幼筠說,對於企業而言,這些個人資料盤點的流程,是最花時間也最需要人力的關卡。許多企業都在尋找自動化個資盤點的工具,但目前而言,仍須以半人工查驗的方式,才能盤點出企業內的個人資料有哪些資料類型和種類。即使是因應無店面零售業提早在今年7月1日就優先適用現行電腦處理個人資料保護法的博客來網路書店,到現在為止,個資盤點的流程仍舊在持續進行中。

除了盤點電子檔的個人資料外,萬幼筠提醒,「除了要盤點電子化的個人資料外,企業還必須盤點紙本的資料。」若民眾到銀行開戶,會填寫很多書面申請表,銀行會掃描轉存成影像檔、PDF檔或其他電子化格式存檔,但這些紙本資料因為都有當事人的詳細個人資料,因此企業對紙本個人資料進行各種個資處理、利用、儲存甚至刪除等,都不可以忽略紙本個資這一個環節。

蒲樹盛也同意,因應新版個資法規定,管理上就必須意識到有紙本個資的管理,但因為電子檔形式的資料庫儲存個資量大,相關的管制措施就應該更為嚴格、謹慎才是。

作法 3 進行隱私權衝擊分析
隱私權衝擊分析(Privacy Impact Assessment,簡稱PIA)主要是為了點出,各種系統在開發過程中,可能觸發的個資和隱私權議題。一般而言,為了讓隱私權衝擊分析更有效率,這會是日常流程的一部份,而透過隱私權衝擊分析,企業可以確保一個新系統在開發的過程中,都能符合各種法規遵循、公司治理、客戶和商業隱私保護的需求。

舉例而言,如果銀行要作隱私權衝擊分析,就必須先看過所有業務流程,然後挑選內含個人資料的資訊流,例如,信用卡、財富管理、客戶服務等有個資的應用系統,再使用分析方法篩選出具有可識別個人身分的系統作分析評估。

作法 4 分析業務活動資料熱點和關鍵環境
勤業眾信有一套BIF(Business Information Framework)方法論,萬幼筠表示,這個就是從業務流程去看個人資料的資訊流向,並針對各種應用系統作分析,確認組織內部所儲存的客人資料和儲存位置,也可以進一步了解目前企業控管程度和法規遵循的程度。

例如,網路購物業者的客戶資料會流經第三方物流業者,公司內部則會經過訂購客服系統、財務系統、出貨系統和銷貨系統,若在系統面,則可能會流經CRM系統、ERP系統、資料庫、資料倉儲系統等,最後則會產出一張進出貨和庫存報表、客戶配送資料報表。萬幼筠說,透過這樣的資訊流,可以清楚掌握每一個部門和系統甚至儲存設備上,留有哪些個人資料,也可以進一步分析是否合乎新版《個人資料保護法》對個人資料使用的規範。

結合BS 10012的個資保護方法論,中小型企業也適用
勤業眾信因應新版《個人資料保護法》過關,推出一套結合實務經驗和BS   10012標準推出的個人資料保護方法論,該公司副總經理萬幼筠表示,這套方法論不只是適用於較具規模的大型企業,中、小企業只要在進行個資盤點和隱私權衝擊分析時,能清楚界定個資範圍有多大,就同樣適用這個方法論。

小型企業因為範圍小、人員少,業務較單純,在做個資盤點和隱私權衝擊分析時,只要能夠清楚界定該企業內應該保護的個資範圍,問題反而單純。

萬幼筠就曾經針對一些本土、小型的物流業者,試用此一方法論,因為實施範圍很容易界定,個資盤點速度快,很多時候,只要把作法、誰做、做什麼事先表定清楚,執行力甚至比大公司還好。

小公司因為人少,往往要一人身兼數職,在本分工作時間以外,才有空做資料建檔、轉換檔的工作,執行進度會稍微慢一點。萬幼筠說,在該有的控管點界定後,等到人員上手後,只有後期要通知客戶、做記錄會比較麻煩外,其他的問題都不大。

不過中型企業問題就稍微複雜一點,雖然略有大公司規模、卻是小公司的運作精神,萬幼筠形容,這樣的中型企業「風險是高級的,但能力確是初級的。」同樣在界定個資範圍後,他說,中型企業因為人數規模稍多,至少能做到有1
2名專職人員,負責個人資料保護的任務。

至於使用這套個資保護方法論,萬幼筠表示,如果個資的範圍是顧問定的,大概要花7
9個月去做,如果範圍是全公司的,執行時間大約1年,若是小公司,大約半年就可以完成這樣的個資保護方法論的作為。從萬幼筠的實務經驗來看,不論公司規模大小,該方法論都沒有不適用的問題。

作法 5 釐清個資權責和所有權
從個資盤點到隱私權衝擊分析,到掌握個資資訊流在每一個應用系統和儲存空間的個資流向後,接下來就是要釐清個資管理的責任,萬幼筠認為,RACI矩陣模型是一個很適合用來釐清個資所有權的工具。

RACI矩陣的R是Responsibility表誰來負責、解決問題之意,A是Accountability表誰來承擔、批准之意,C是Consultation表誰來諮詢、提供意見之意,I是Informed表誰被告知之意。

萬幼筠表示,在這個RACI模型中,左側可以記錄各種個人資料類型,上方則記錄所有的個資資訊流管控者或窗口,在相對應的方格中,填入R、A、C、I,辨別每一種個資類型和負責人的對應關係。他也說,如果,系統使用者端的使用者行為難以區別時,則可以透過企業內部職能衝突風險管理來解決。

作法 6 評估個資存放系統的風險是否獲得控管
個人資料保護除了要考慮資訊生命周期的變化,萬幼筠說,資料生命周期和組織內部環境高度相關,企業要結合營運狀況和資訊技術,為個人資料提供一個控管架構。

這個控管架構用來確認企業組織對這些存放個資資訊設備所採用的安控措施,是否做到適當的風險控管。如果有風險控管不當的項目,就可以進一步修改或調整。

作法 7 部署合適個資保護與監控的工具
在資料處理的流程中,IT和負責個資管控的主管必須選擇合適的個資保護和監控工具。萬幼筠認為,企業在解讀、評估《個人資料保護法》對企業造成的衝擊與挑戰時,企業主應該正視「企業對個人資料保護」的重要性,而法條對於擁有個資企業的規範上,他建議,企業應該先從架構一個「企業對個人資料保護概念框架」著手。

所謂的企業對個資保護概念框架,是從機關組織是否設定隱私保護組織、政策、規範的治理面開始,逐步延伸到掌控資料處理流程,並對應部署合適的管控措施,對於所有的個資資訊流進行保護,並執行相關的監控措施和進行相關的分析報告。這個完整的過程,就是機關組織在面對個資保護時,從機關組織角度,一直到實際監控作為所架構出來的個資保護概念框架。

萬幼筠特別提醒IT部門主管,不能只聽信廠商片面說法,IT主管必須非常清楚,沒有一個防護措施可以做到「以一擋百」,每一個防護措施都有其保護對策的上限,因此,企業評估個資外洩防護措施時,切忌抱持著只想找到一個萬靈丹來治百病的心態。

蒲樹盛認為,企業心態若是希望用工具解決個資保護的問題,終究只能保護到點的個資,線和面的個資保護就可能因為沒想到、疏忽,而未能做到善良保管人之責。


作法 8 記錄與保存個資資訊流向和軌跡
企業參考個資類別和風險高低,選擇合適的個資防護措施之後,為了能夠保存每一筆個資異動的軌跡,重要資安設備和資安事件的Log檔(登錄檔)都必須留存。萬幼筠說,所謂的Log保留不只是保存數位化Log而已,而是中間很多的記錄軌跡都要能夠保留下來,重點在於要能夠「還原」事件原本的面貌。

還原事件原貌就不只是單純收集Log檔而已,連相關資安設備的時間,都必須事先校準過,這樣才有辦法還原事件的原貌。萬幼筠說,日前就有某客戶網站遭到外部駭客入侵,企業為了提告,將收集資安設備的Log作為法院的呈堂證供,但此時就發生資安設備時間沒有校準,防火牆Log時間早於路由器Log時間,因為時間差導致這個Log記錄反而不具有證據力。

作法 9 重新審視委外合約以符合個資法規定
個人資料的資料來源除了來自外部客戶、內部員工還有第三方合作或委外廠商。萬幼筠指出,委外廠商是許多企業在個資防護上,最脆弱的一個環節。因為多數著手進行個資保護的企業,保護的範圍通常不及於合作的委外廠商。

例如,某客戶網站被當成駭客攻擊跳板,按照Log記錄還原事件發生的來龍去脈時,追溯到某ISP業者後就無法繼續追溯下去了。因為,該ISP業者聽到企業主機被當成跳板後,就直接將該主機系統重灌,原本所有的電子化證據和Log檔都沒有保存,致使該客戶追查動作追到ISP業者後,便宣告中斷。
上述的案件並非例外,萬幼筠提醒,隨著新法規定,受委託單位視同委託者,在法律上,委外單位和委託者負有相同的個資保護責任和義務,如果客戶提告,企業提供相關的證據追查個資外洩的起迄點,如果追查途中,因為委外單位沒做好相關的個資防護以及追蹤記錄保存,導致企業無法完成個資外洩的追查時,委外廠商和企業需負起連帶賠償責任。

因此,他建議,從現在起的1年內,機關企業應該逐次重新審視委外合約內容,為了確保客戶個資的保護,企業除了和委外廠商增訂保密和賠償條約外,未來新成立的委外合約,都必須符合《個人資料保護法》對個資保護的要求,對於舊有、尚未到期的委外合約,若無法重新更約,也應該另外做避險和風險管控的手段,以降低企業必須連帶承擔委外廠商個資外洩的風險。

這種狀況很容易發生在電子商務業者委託物流業者配送貨物,若個資外洩是物流業者造成的,受委託者視同委託者,該物流業者造成的個資外洩,電子商務業者則必須負起連帶責任。

作法 10 檢視企業的個資防護訴訟策略
萬幼筠說:「個資外洩基本上是一種企業對當事人的侵權行為,」而所有的犯罪在追究責任時,檢察官主要的任務就是追查犯罪動機、掌握犯罪工具,以及確認犯罪事實。所以,企業在評估《個人資料保護法》施行後的各種影響層面時,對於企業應該盡哪些義務、負擔哪些責任,尤其受損害的當事人提告之後,上法院訴訟時,就可以從「有無故意」、「有無過失」、「有無善盡善良管理人責任」以及「有無不可抗力之因素」來看相關的衝擊與挑戰。

因為,檢察官在偵察犯罪的第一件事情就是察看犯罪動機,也就是說,企業對於擁有的個資應該善盡保護之責,如果因為「該作為而不作為」導致個資外洩,企業就有故意不作為的嫌疑。一旦當事人對企業提告,企業因故意不作為導致當事人個資外洩,企業就必須負擔起相關的賠償責任。萬幼筠說,像是企業設立具有實權的專責機構和人員,來負責相關的個資保護,制訂並落實相關保護政策與流程規範等,都是企業是否有故意不作為的證明之一。

除了故意與否,「企業應該做而沒有做到完善,導致當事人個資外洩,企業就有過失之虞。」萬幼筠說道。這通常牽涉到比較多技術層面的問題,當確認應該有的個資保護組織、標的後,就進入如何進行實質保護的階段。萬幼筠指出,從業務狀況看資訊流流向時,企業就應該針對每一個資訊流流向可能的資料外洩風險,提供相對應的保護措施。

「關於企業個資防護作為是否有過失,通常是上了法庭之後,請專家證人作證後,才能向法官證明個資外洩當時的個資防護作為,是否已經做到當時技術所能及的地步。」他說,如果企業能夠證明沒有過失,或者是能夠證明,企業盡可能完善的個資保護是因為碰上不可抗力的因素,例如,零時差攻擊(Zero Day Attack)導致個資外洩,法官在審判時,通常會參酌企業表現,減輕責罰。

萬幼筠強調,「不論是故意、過失,或者是不可抗力因素,當事人一旦提告,企業都必須能夠負起完整舉證的責任,」而這些舉證,除了保存完整的Log檔,時間必須一致、也必須能從這些Log檔還原事件原貌。他說,從訴訟的角度來看,企業在個資保護的作為上,只要能夠證明企業沒有任何故意或過失,善盡善良管理人的責任,以及受到不可抗力因素導致的個資外洩風險,法官通常會酌情減輕罰則。 


信任是企業最昂貴的資產
電子商務業者Payeasy營運長陳怡宏說:「信任是昂貴的,也是企業最重要的資產。」曾經經歷過會員資料在2007年12月,遭到中國詐騙集團,企圖以資料拼圖方式暴力竊取的慘痛經驗,當時Payeasy以大張旗鼓、對外宣揚的方式,提醒所有會員注意相關個資是否被竊取,也是目前唯一一家,主動對外公開會員個資現況危險程度的業者。

陳怡宏認為,資訊安全包含個資保護都不是資訊或技術的問題,而是企業經營層面的政策問題。只有當企業認為資安與個資保護與企業營運息息相關時,企業才會提供足夠的資源與心力在上面。

當時,Payeasy簡單的因應策略可分成先止血,將所有可疑的帳號、可疑的IP立即封鎖;再來是清查,地毯式的清查所有會員帳號、密碼,是否有不正常的存取現象,並且在第一時間內,以網站公告、電話聯繫和限時專送信件告知帳戶異常存取的會員;最後就是蒐證,把每一個會員帳號異常存取的動作,完整保留下來,並於第一時間報警、召開記者會,將收集到的相關事證,提供相關單位做後續的調查追蹤。

陳怡宏指出,資安推動不容易,企業投資資安和個資保護措施時,若只一味看重投資報酬率,最後只有到出狀況時,才會後悔相關的保護措施不足。

為了避免不必要的後悔,Payeasy以「會員資料」作為個資保護的重心,明訂存取策略並實施資料分級制度,透過分散式的資料處理方式,以及P、D、C、A持續不斷的改善流程落實個資保護。他強調,唯有把每一次檢視個資保護的流程,都當成當年「第一次遇到詐騙集團攻擊時的因應心態」,才能不斷以最謹慎的態度因應個資保護的作法。

企業個資盤點3步驟 
臺灣BSI副總經理蒲樹盛表示,BS 10012是一套根據PDCA提供個資保護實務作法的標準,P、D、C、A在BS 10012中都各有專章說明。其中,「個資盤點」是很重要的一個部分,不過,多數企業因為沒有任何可以參考的範本,經常不知道從何著手。蒲樹盛則分享他的實務作法,企業可以據此延伸其他相關的作法。

首先,蒲樹盛說,第一件事情就是要確認公司組織架構,有時候會因為公司有些不在同一處辦公的外圍機構,沒有再度確認容易疏忽。再者,公司必須指派高階個資管理代表,也要指定負責日常處理個資保護、監控與教育訓練的專責人員。第三,從資訊生命周期的觀點進行個資盤點,重新審視公司每一個部門,到底擁有哪些資料,這些資料中又包含多少個人資訊在內。

在確認每個部門擁有哪些個資的清單資料後,公司就要產生一份「個資類別清單」,這個清單就詳細記載著這些個資的資料,都由誰經手、收集、處理、利用及刪除的流程。蒲樹盛強調,當這份個資類別清單出爐後,企業就應該據此重新檢視各個部門相關的個資保護措施和個資保護意識是否足夠,若是發現擁有較多個資的部門,對相關的個資保護措施或意識不足時,就應該立即提供各種強化措施以補不足之處。

企業進行個資盤點步驟示意圖




























步驟 1 確認組織架構
企業進行個資盤點前,一定要確認公司組織架構,除了要指派高階個
資管理代表外,也藉此確認公司的營運範圍和組織規模大小。





















步驟 2 彙整出各部門個資類別清單
若以客服部為例,企業必須清楚盤點客服部究竟擁有哪些表單資料,先列出完整清單後,在彙整出與個資相關的類別清單,例如會員基本
資料檔就包含會員姓名、聯絡電話、地址、email、帳號和密碼等內容。





















步驟 3 盤點個資類別清單在各部門流向
將各部門彙整出的個資類別清單,逐一確認企業各組織對各個個資類別清單的收集、處理、利用、國際傳輸和刪除的經手流程。全部盤點過一次後,才會知道哪些部門個資防護措施是否足夠。



轉載自《iThome》
 

結合BS 10012的個資保護方法論,中小型企業也適用

搜尋引擎優化(SEO)與社交網路優化(SMO)比較

 搜尋引擎優化(SEO)與社交網路優化(SMO)比較


經常有業主詢問說他們想做SEO,但是不知道是否能夠很快的看到效果? 因為他們不願意把預算花費在不能馬上看到效果的行銷上面。也經常看到許多業主,他們寧可花錢請人來顧Facebook粉絲頁面,但是卻不願意花錢來進行SEO,因為Facebook馬上可以看到有粉絲人數的增加,讓他們覺得有在動,但是花錢在SEO上,卻感覺靜悄悄的 ...

這就是我們之前講的看得見的網路行銷與「看不見的網路行銷」的差別,Facebook的粉絲知不知道企業在對他們行銷? 當然知道,跟傳統行銷不同的是,Facebook的粉絲是自己靠攏過來的,因為他們希望從Facebook粉絲團這邊獲得某些他們需要的「東西」,這個東西可能是訊息,可能是優惠,可能是感覺,也可能是共同的意念,或是其他未知的東西。

但是不管如何,社交網路優化(SMO)還是屬於「看得見的網路行銷」,雖然可能藥效快,但是這個Facebook行銷的有效期是短暫的,也就是當你停止投入,沒有多久的時間,所有的訊息就在後起的timeline中消失了 ... 當你過了一陣子再回來投入,可能又要花費更大的功夫,才能再拉回原本的效果。

除此之外,「看得見的網路行銷」是比較可能被消費者抵抗的,當你搏感情跟粉絲互動之後,可能會發現,希望大家消費的訊息可能最沒有反應,所以這類行銷有點外熱內冷,看似門庭若市,卻發現大家都是來吹冷氣的。

而屬於「看不見的網路行銷」的搜尋引擎優化(SEO),雖然可能藥效較慢,但是只要長期規劃正確,每個階段的投入都可以累積效果,並且有效期可以持續非常久的時間,有些可能短暫進行SEO操作,但是可以持續效果數年之久。

並且「看不見的網路行銷」不會被消費者抵抗,只要你傳達的訊息不是造假的,只要是你的產品是優秀的,當消費者自己查詢進來之後,就可以達到最佳的轉換率(conversion)。雖然靜悄悄的,但是底下卻如火如涂的在展開,看似外冷卻是內熱,每個搜尋進來的消費者都是真正要掏錢消費的人,就看你提供的環境能否完成任務。

這篇"SEO vs. SMO"也同樣說到,搜尋引擎可以導入許多免費的流量,並且這個流量完全是你的目標客戶,並且當建立信賴度與權威度之後,許多新內容也可以很快的在搜尋排名上曝光。並且與社交網路優化而來的流量相比,搜尋引擎優化更是比較穩定。

雖然成功的社交網路優化也可以快速的引進大量的流量,新的內容也可以快速曝光,但是成功的社交網路優化所需要的時間,可能比搜尋引擎優化需要更多的時間,或是必須已經是知名的品牌。這個差異讓許多中小企業很難透過社交網路優化來達成更有效的行銷,因為不知名品牌在Facebook行銷上必須在前期投入更多的努力。

搜尋引擎優化引起的搜尋流量好在哪裡呢?
(一些不同意見,由註解來說明)

(1)搜尋引擎可以由優秀的搜尋排名引進大量的免費流量 (註1)。
(2)搜尋者都是有需求的目標客戶。
(3)隨著網站的開發,搜尋流量可以隨著信賴的累積而提升。
(4)你可以控制哪些關鍵字要鎖定 (註2)。
(5)一旦建立起權威度,可以快速的將新內容推到優秀的排名 (註3)。

(註1) 指流量本身免費,不包括SEO操作費用。
(註2) 應該說大多可以控制,但是無法百分之百的控制要鎖定的關鍵字,除非搜尋引擎自己才有辦法完全控制吧。
(註3) 應該說比較有機會快速的將新內容推到優秀的排名,當然無法百分之百的把所有新內容都推到優秀的排名。

社交網路優化引起的社交流量好在哪裡呢?
(一些不同意見,由註解來說明)

(1) 任何人都能夠進行。
(2) 開始進行的第一天就能夠看到成果,不需要有可信賴的網站 (註4)。
(3) 流量可以高到很高 (註5)。
(4) 是免費的 (註6)。
(5) 你可以由此獲得有價值的目標客戶 (註7)。
(6) 成功的社交網站操作可以讓你引進流量到網站。
(7) 你同時可以協助別人操作,不像搜尋行銷中是互為競爭者 (註8)。
(8) 這個流量可以如滾雪球般的越滾越大而增加能見度。
(9) 社交網路優化可以不必有結構良好的網站 (註9)。

(註4)這點是值得懷疑的,許多Facebook粉絲團可能第一天是門可羅雀的,必須網站先有知名度會比較容易操作。
(註5)流量要很高,也要相對付出更多成本。
(註6)雖然平台免費,但是人力與時間成本是可觀的。
(註7)其實粉絲未必是目標客戶。
(註8)同業間的社交行銷也是競爭者,跟搜尋行銷是相同的。
(註9)優秀的網站可以增強社交網路優化的效果。

搜尋引擎優化(SEO)與社交網路優化(SMO)都必須長期耕耘,SMO可以較快看到流量的成效,但是SEO的流量效果持續性比SMO來得長,而轉換率與投資報酬率則是兩者在伯仲之間,依不同企業類型而互有高低。

以下則是就幾個項目來互相比較:

(1)就Link building來說,是SEO的重要操作,而Link building反而是SMO操作的結果,因此可以說SMO可以造成別人來連結你的網站,來讓SEO操作更順暢。
(2)頁內的元素(標記、關鍵字等)在SEO操作上是重要的,但是相對於SMO就沒有那麼重要,反而視覺的吸引力更重要。
(3)標題對於SEO來說是重要的,對於SMO更是重要。
(4)相對來說,SEO操作的內容必須適合搜尋引擎來抓取,SMO則必須顧及閱讀者。
(5)內容對於SEO與SMO來說都是非常重要的,只是SEO還需要注意結構。
(6)SEO與SMO都必須進行分析,SEO分析是為了知道排名的正負向因素,而SMO分析是為了知道哪些內容可以吸引讀者。
(7)SEO與SMO都可以將成功經驗複製。
(8)SEO與SMO的成功都可以錦上添花,讓新的內容踏著前者的腳步而快速曝光。

搜尋引擎優化(SEO)與社交網路優化(SMO)比較之下,各有優缺點,並且互相可以相輔相乘及互補其短,因此對於各類型企業來說,最好的方式是兩者同時進行,最能夠收到極大化的效益。

轉載自《SEO關鍵解碼》

個資法-適當之個資安全維護措施與事項


個資法-適當之個資安全維護措施與事項



項次
PDCA
措施與事項說明
1
Plan
找人來管理
2
企業被授權蒐集、處理或利用的個資有哪些?法律為何?
3
企業現在蒐集、處理或利用的個資有哪些?特定目的與蒐集目的為何?依據之法律為何?
4
違法之衝擊與風險為何?
5
事故發生時之應變與通報機制
6
規定該寫的計畫與管理程序要確認撰寫,並且有簽核與公佈記錄
7
Do
個資盤點
8
建立個資蒐集、處理或利用之管理程序
9
宣導與教育訓練
10
資料、設備、人員安全管理
11
該告知要告知、該通知要通知、該取得同意要取得同意、該監督要監督
12
該滿足個資當事人需求就務必滿足
13
Check
稽核個資保護情況
14
所有證據、軌跡、記錄該保留要保留
15
Action
持續改善之規定與執行記錄

轉載自《IT雜貨店》

2012-10-29

個資法-成立管理組織、配置相當資源

個資法-成立管理組織、配置相當資源 




項次
角色名稱
職務內容
1
Steering Committee
8 支持個資管理委員會所訂定之個資保護政策與個資保護相關決議
8 核准個資保護相關之預算需求
2
個人資料管理委員會召集人
8 負責召開個資相關會議
8 協調個人資料管理委員會之委員意見
3
個人資料管理委員會
8 確認各部門執行窗口
8 制定所有個資保護相關政策
8 審核所有個人資料管理之相關配套計畫
8 確認所需之預算編列
8 監督所有個資保護之相關計畫執行進度
8 確認個資保護成效
8 持續改善個資保護機制
8 因應公權力機關之查核作業
8 回應個資當事人對個資之需求
8 主導個資異常之應對策略
8 制定與增修個人資料管理相關辦法
4
個人資料執行暨應變小組
8 個資盤點
8 進行個人資料之風險評估以及應變管理機制
8 建立個資事故之預防、通報及應變機制
8 執行所有個人資料管理委員會決議事項
8 因應所有個資之異常現象
8 進行個資宣導與教育訓練
8 通知個資當事人個資使用以及異常處理情況
5
各單位個人資料管理負責人
8 負責管理營運必要之個人資料
6
資訊部門人員
8 導入必要且符合個資法規範之資安工具
8 執行所有與個資法規範相關之資安防護與管制作業
7
稽核人員
8 稽核個人資料管理作業是否符合個資法之規範
8
個人資料管理聯絡窗口
8 協調所有個資當事人與企業之個資需求
9
組織全體員工
8 遵守個資法之相關規範
10
個資當事人
8 提出個資處理需求
11
廠商
8 提供必要之資安工具
8 遵守個人資料管理委員會所制定之規範
12
客戶 / 消費者

13
委外人員
8 遵守個人資料管理委員會所制定之規範


轉載自《IT雜貨店》

2012-10-26

Linux LVM管理 -- 擴大與縮小LV空間

Linux LVM管理 -- 擴大與縮小LV空間 


LVM是Linux系統中內定的磁碟管理方式,只要在安裝系統時沒有特別設定,系統自動會使用LVM將磁碟切割為兩部份,一部份開機磁區約100MB,剩下部分為全權交由LVM管理,更多相關LVM說明,可參考鳥哥網站:http://linux.vbird.org/linux_basic/0420quota.php#lvm,這裡僅列出towns實做的結果。

        towns擴大的原因為,虛擬主機的空間擴大(請參考VirtualBox 及VMware討論),也同時說明如何縮小LV空間



擴大LV


1. 確定該磁區是否有空間可以放大
   第一個框表示目前該硬碟的總量、第二個框表示該硬碟的總磁柱數、第三個框說明第二磁區的最後磁柱、第四個框說明目前LV的實際空間大小,由這可得知,該硬碟仍有未使用的空間


 2. 將未使用的空間建立第三個partition(hda3)
使用fdisk指令建立hda3,並設定hda3的ID為8e(指定給LVM管理)

   建立過程系統會告知裝置正在忙碌中,重新啟動後生效


   OK,hda3已經生效了


3. 新增PV
使用pvcreate指令新增

               










新增前與新增後,下面多了/dev/hda3


4. 加入VolGoup00中
使用vgextend,將hda3加入VolGoup00











圖中PV由1變成2、而VSize及VFree也加大了,必需有VFree


5. 擴大LV空間
使用lvextend指令,將hda3加入VolGoup00-LogVol00中

    當沒有下參數加入後,LV的空間就由9.38G變成48.19GB,直接延伸到最大值,但看第三個框,實際使用的空間還是只有9.1G


    使用resize2fs,將LV的實際空間擴大到最大值
    在執行resize2fs時,如果沒有指定容量大小,會將容量放到最大值,而執行時間會因擴大的量而不同。


到此,擴大LV空間已經完成設定


原本一開始towns想要直接擴大hda2的磁砫到上限,但參考文件、詢問高手後,似乎無法直接擴大,目前仍暫用此方式加大容量


參考資料:范老師上課資料



縮小LV


在官方文件得知,要縮小的LV必需先卸離磁區(umount),但towns的 / 是一整個磁區,就算用了光碟開機,/ 還是被掛上的,如果未使用resiz2fs,就強制縮小LV空間並將PV卸離,系統會無法開機,目前正在找尋方法及測試中


繼續閱讀  Linux常用基本指令詳解

2012-10-25

美大學遭駭客入侵 30萬筆師生資料外洩

美大學遭駭客入侵 30萬筆師生資料外洩














西北佛羅里達州立學院(NWFSC , Northwest Florida State College)日前證實,將近30萬筆學生、教職員的資料遭到駭客竊取,被竊資料除了個人基本資料外,也包含銀行與帳號等財務資訊。

NWFSC於10/8對外表示,3,200位現任與退休的員工個人資料被竊,被竊的資料包括姓名、生日、社會安全密碼,以及存款銀行與帳戶號碼…等,在進一步調查後,NWFSC發現問題比原先預估的更加嚴重,於是10/10再度公布,約7.6萬名仍在學與畢業學生的個人身分資訊遭竊取,另外,全佛羅里達州內,至少20萬名有資格申請「光明前途(Bright Futures)」獎學金的學生資料,包括姓名、社會安全號碼、生日、種族和性別等也遭竊取。

繼10月初傳出全球數十所大學遭駭客攻擊,因而導致120萬筆學生資料外洩後,不到一個禮拜的時間,又有NWFSC遭到駭客攻擊,聯邦當局認為事關重大,已經與當地警方合作展開調查。

根據調查結果,這些資料是在5/21至9/24間外洩,該起事件之所以曝光是因為有員工反映有人企圖非法使用自身的銀行帳戶,校方於是通知所有教職員檢查個人帳戶並採取相對應的保護措施,隨後越來越多員工發現自己的帳戶出現問題,如:有些員工存款帳戶的資金被盜領,或是收到以他們名字申請的信用卡消費帳單。

NWFSC院長Ty Handy表示,該駭客組織入侵了某一台伺服器,並存取其中一個包含許多檔案的資料夾,雖然單一檔案中沒有完整個人資料,但駭客從不同檔案拼湊出完整資訊以做進一步運用,因此Ty Handy推測,這應該是由多名駭客共同策動的專業攻擊。

在NWFSC對外發表公告的前一個星期,也就是10月初,駭客組織Anonymous的分支GhostShell,其首領DeadMellox透過PasteBin宣告一項名為「西風計畫(Project WestWind)」的攻擊行動,並宣稱已經入侵全球至少五十所大學的資料庫,同時公開120萬筆資料給大眾下載。GhostShell指出,此次行動的目的是想呼籲大眾關注教育問題,同時列舉學費、教育政策、畢業生就業不確定性等相關問題。

雖然兩起事件僅間隔一個星期,但根據目前的調查,NWFSC資料外洩事件與GhostShell攻擊並沒有直接關聯,資料監測服務公司PwnedList則表示,GhostShell言過其實,事實上,僅有超過1.3萬筆的資料遭存取。

此外,GhostShell也宣稱,他們竊取的資料比較沒有機密性,但他們入侵時發現很多伺服器早就隱藏惡意軟體,換言之,早就有其他駭客為了財務目的而入侵系統。稍早之前,包括史丹佛大學、劍橋大學、密西根大學、紐約大學、普林斯頓大學和哈佛大學等知名學校,也爆發遭受駭客攻擊的新聞。

而同樣位於美國佛羅里達州的坦帕大學(University of Tampa)在今年三月時就曾爆發資料外洩問題。該大學把學生資料存在伺服器上卻未經任何保護,因此透過網路就可搜尋到甫要入學的近7千名學生資料,而且包含2.27萬筆個人紀錄的兩個資料庫也疑似遭到存取。教育機構接二連三的資料外洩事件,所突顯的安全保護問題也值得關注。

轉載自《資安人科技網》

網路購書後被詐騙 賽門鐵克:應提防小而準的外洩事件

網路購書後被詐騙 賽門鐵克:應提防小而準的外洩事件


上周又傳出消費者在網路書店消費後,接到詐騙電話的新聞,根據警方指出,其中某新成立的網路書店在短短三個月內造成了24名網友受害,損失金額達80多萬元,同時在另一家網路書店平台發生的詐騙案則造成單筆48萬元的損失。同樣近期在其他網路書店也有消費者反映購物後接獲詐騙電話。

儘管這幾年下來,在政府及165反詐騙專線的宣導下,民眾對於詐騙電話的警覺心已有提升。但部分受害者在接到詐騙電話當下,仍然因為歹徒握有詳細消費明細,而一時誤入詐騙集團圈套。然而與過去不同的是,個資法正式上路後,企業難再以我們也是受害者自居,除了須面對消費者群起在臉書上對店家的質疑,還必須面對執法機構的審視。甚至可能須面對團體訴訟的壓力。資安專家也提醒,已經有越來越多「公益團體」為了辦個資外洩侵權的團體訴訟案件而設立,因此企業面臨了不同於以往的高度風險,必須思考避險的機制。

儘管目前調查結果還未出爐,究竟是平台業者或其它供應鏈出問題還不得而知。但從越來越多的詐騙新聞,可以看出不只是知名網購業者,二線電子商務業者也都遭殃。根據賽門鐵克網路安全報告顯示,2012年資料外洩事件的平均資料外洩筆數為64萬筆,比起去年131萬筆有明顯降低。其中可能原因是大型企業受到去年大規模惡意網路攻擊影響已開始重視資料庫的保護,或者駭客不再只鎖定大型企業,轉而瞄準同樣具有價值的資料儲存場所。因此,賽門鐵克提醒企業必須提防小而準的資料外洩事件。

轉載自《資安人科技網》

美國伯靈頓市府系統遭駭 市民與員工個資外洩

美國伯靈頓市府系統遭駭 市民與員工個資外洩


美國伯靈頓(Burlington)市的市府付費系統驚傳駭客入侵,竊走該市府於美國銀行的帳戶資料,及至少40萬美元的存款,雖然,美國銀行已經將該帳戶凍結,但駭客很可能拿被竊走的資料做進一步運用。

本次事件影響範圍包括參與伯靈頓市府電子轉帳計畫的員工,以及使用該市自動轉帳服務的居民。當地官員Bryan Harrison表示,由於駭客入侵了市府的公用事業付費系統,因此所有使用自動轉帳服務的用戶個人資料,包括姓名、銀行帳戶、銀行代碼等資訊,也都可能已經被駭客竊走。

該事件原本可能更加嚴重,因為帳戶中的金額遠高於駭客所竊取的數目,Bryan Harrison認為,也許是因為還來不及竊取所有的錢就被發現之故。一家東海岸銀行於10/11發現一系列來自柏靈頓市府帳戶的可疑轉帳交易,轉出對象為該東海岸銀行的企業或個人帳戶,而且在2天之內至少有3筆巨額轉帳交易,於是與柏靈頓市府聯繫,確認是否將該帳戶的存款轉到其他數個帳戶,也因此發現這次的資安事件。

相較其他網路攻擊事件來說,該事件被竊取的金額並不驚人,但因為用戶的個人資料也遭竊取,因此駭客很可能再做進一步的攻擊。Bryan Harrison指出,截至目前為止,還無法確切得知資料外洩的規模,不過美國特勤局(U.S. Secret Service)和相關法律機構已經開始展開調查。

為了避免影響進一步擴大,Bryan Harrison表示,已經提醒所有用戶盡快和銀行聯繫或是先將帳戶關閉,所有使用市府電子轉帳帳戶的員工,也被要求先關閉原本的帳戶,並重新開立新的帳戶,另外,市府也要求員工通知信用卡公司,以避免個資被拿來做其他使用,導致更大的損失。

在該起攻擊事件發生前幾日,RSA曾經發佈警告指出,透過監控地下論壇內容的方式,偵測到一個網路犯罪集團計畫使用名為Gozi的木馬程式,展開大規模網路攻擊行動,而且可能聯合100個駭客共同參與,預計鎖定至少30家美國銀行的網路帳戶竊取金錢。

在RSA的警告發佈後,其他資安專家也陸續表示發現即將攻擊美國銀行帳戶的資訊,而在RSA發表警訊之前兩週內,包含美國銀行、摩根大通銀行、花旗銀行、Wells Fargo等數家銀行,都同時遭遇阻斷式攻擊(DDoS)。

雖然沒有證據指出伯靈頓市攻擊事件與RSA發布的警告有關,然而,駭客鎖定特定組織、銀行單位展開目標式攻擊越來越氾濫,近一年來,有許多地方政府、銀行、小型企業也曾遭遇類似的攻擊,根據FBI統計,美國政府和企業在近幾年遭受網路攻擊的損失達數億美元。伯靈頓市的外洩事件和RSA預期將發生的大規模攻擊行動,對銀行組織來說無疑是項重要的資安警訊。

轉載自《資安人科技網》