買來的二手硬碟,竟然裝著滿滿的個人資料?!日前有民眾向立委陳情,自市場上採購的中古硬碟,不但沒有格式化,還存放著某家銀行與客戶往來的業務資料,銀行局表示已著手調查中。
接獲民眾陳情的立法委員黃偉哲辦公室指出,這些內含民眾個資的相關報表可從硬碟直接存取,提供硬碟的陳情民眾表示沒有透過還原軟體還原。至於是哪一家銀行外洩?從報表資料可看出是來自某銀行的某一個分行,其實陳情民眾陸續提供了五、六顆二手硬碟中,每一顆都有類似狀況,由此來看,外洩個資的應不只一家銀行。另有未經證實的消息指出,這些資料原始來源是銀行,但硬碟本身是來自民間某債務整合業者。
其實,報廢IT設備出現機敏資料的新聞已經不是第一次了,企業經常將資料保護的重心放在資料庫,尤其是IT人力有限(甚至沒有)的企業分支機構或中小企業,電腦與印表機或碎紙機一樣,屬於生財器具,交由總務人員管理,偏偏總務人員比較缺乏資安意識,一旦要汰換IT設備,往往直接丟棄或交由廠商回收,不會想到要檢查硬碟內是否還存有機敏資料,資安顧問表示,許多金融機構在系統和技術上的資安表現可以做到100分,但在管理上卻連及格邊緣都到不了。
隨著新版個資法通過,企業在資料銷毀與IT管理上的疏失,很可能帶來民刑事上的責罰,豈能不謹慎以對!根據立法院個資保護管理運作程序(草案),但凡超過保存期限的個人資料檔案,都要填寫申請表,經主管核準後進行銷毀,員工倘若在端點電腦處理個人資料,應於處理完畢後立即刪除檔案,並清除資源回收桶。
立法院資訊處高級分析師梁雯璍指出,目前已經建立個資檔案清冊,下一步將逐筆討論個資檔案的保存期限並製表,未來在做內稽時,稽核人員會據此進行抽查,確認資料保管者是否有落實銷毀程序。
潘朵拉科技業務經理黃啟宏則表示,常見的硬碟資料銷毀方式有三種:物理破壞、低階格式化及軟體覆寫、消磁機,物理破壞簡單但容易受到人為因素影響,軟體覆寫或格式化則需耗費大量時間,至於消磁機速度最快,約20秒就能處理一顆硬碟,但相對得投入一定成本,由於彼此各有不同優缺點,企業應視自身環境選擇最適合的方式,此外也要制定一套硬碟資料銷毀流程,由專人處理,在執行時必需記錄資產編號、硬碟序號、銷毀方式、處理日期、經辦者…等資訊,確保已落實銷毀程序,因應日後稽核與個資法舉證需求。