首頁 > 焦點新聞

別讓20年企業信譽,毀在5分鐘的資安事件

作者:IBM 資安團隊 -2017 / 01 / 23 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪
回顧2015年7月,美國人事管理局(OPM)局長Katherine Archuleta請辭獲准,只因OPM不只一次慘遭駭客侵襲,導致逾2,000萬筆民眾個資、逾400萬筆聯邦公務員資料先後失竊。 

在Katherine Archuleta黯然去職的同時,美國科技媒體InformationWeek特別刊載一則報導,洋洋灑灑列舉過往曾經發生的14起資安事件。這些事件與OPM相似,除了身為苦主的企業或組織,不論在營運、財務乃至聲譽等方面,都付出慘重代價,也連帶造成CEO或高階主管謝罪下台。

綜觀這14起案例,其中最受矚目的,無疑是著名的零售商Target,共計超過1.1億筆客戶個資外洩,連帶引發一連串信用卡、簽帳卡盜刷事故。因而造成發卡銀行、信用組織與消費者紛紛提出訴訟求償,讓Target揹負巨大賠償損失,更嚴重衝擊大批顧客的消費信心,最終迫使時任Target總裁兼執行長的Gregg Steinhafel下台一鞠躬。

看到這樁悲慘案例,想必讓不少CEO頓時警覺,同時也不禁為Gregg Steinhafel叫屈。因為Target之所以落難,實為駭客處心積慮發動針對性攻擊所致,明明是受害者卻淪為人人喊打的對象,何其無辜?然而事實上,Target確實有所疏失以致釀禍,值得所有企業機構深自警惕。 

便宜行事是最大禍首
細數Target犯的錯,首先是未妥善評估協力廠商的防禦機制健全與否,導致駭客可從供應商下手,取得與Target供應商平台連通的帳密後,再輾轉潛入Target內部系統。其次,將資安重任託付予非資安專業的IT人員,加上缺乏足夠的時間與警覺性,以致未能適時針對一些關鍵的安全警訊進行處置。最後,也最重要的是,Target與PCI DSS稽核單位都犯了「便宜行事」的毛病,Target並未詳盡揭露網路安全措施等相關資訊,也無意支付高額費用進行徹底檢測;加上稽核單位採取不甚嚴謹的檢核表勾選作法,使得若干安全風險與弱點持續存在,也讓駭客有機可乘。 

事實上,除了Target外,許多受難的企業機構都存在便宜行事心態,長期未能落實本該執行的SOP,因而釀成大禍。譬如美國南卡羅萊納州稅務局,員工竟能在上班期間閱讀色情郵件、點擊內嵌連結,因而觸發惡意程式導致入侵。使駭客能進入政府財稅系統及資料庫,進而發現裡頭有大量未加密的社會安全碼、納稅申報單複本等「金礦」,最後輕鬆搜括而去。試想,倘若該局平時就做好資安意識的教育訓練、員工上網行為管控,乃至嚴格實施資料加密措施,必然不會讓駭客輕易得逞。 
1
推薦此文章
2
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…