https://www.informationsecurity.com.tw/seminar/2024_Finance/
https://www.informationsecurity.com.tw/seminar/2024_Finance/

觀點

東森個資外洩 問題出在外部環節

2009 / 07 / 20
張維君
東森個資外洩  問題出在外部環節
上月,東森購物再次傳出個資外洩,由於已非第一次,因此引發網路爭相討論,也有媒體報導此次事件「疑似內部流出」。然而據瞭解,此次事件並不單純,警方正在調查偵辦中,此次資料雖非駭客外部入侵也非內部有心人士所流出,而是東森購物與外部廠商在供應鏈體系的某一環節中,資料遭到外洩。

供應鏈體繫上下游廠商相關環節眾多,包括金流、物流、貨源供應商等,但在金管會、信用卡發卡組織的安全要求下,由金流段所流出的可能性不大。因此,問題來源指向物流業者或貨源供應商。

跟據熟悉物流業者IT環境的人士指出,物流業在資訊網路平台架構上通常不夠先進,系統防護安全有相當大隱憂。當東森購物在與外部合作廠商進行資料交換時,資料出了門就成了問題所在。因此東森購物在外部管理上應再加把勁,應將資料安全納入合約規範或SLA當中。

除了應特別加強供應商管理之外,東森此例值得借鏡的另一點是,組織變動時對IT資產所帶來的影響。去年8月正值東森經營權異動之際,而新董座上台之後大幅度的人事調動,也因此對公司經營環境投下一大變數。消息來源指出,在核對過被公佈的8千筆個資後,有些資料並非東森的客戶交易資料。再加上,此次公佈個資販售的方式與過去大為不同,因此懷疑此次是與東森往來有心人士的報復舉動。

不管如何,此一事件已進入調查程序,然而對其他企業來說,客戶資料已經成為重要資產,企業任何的經營策略均應將其視為風險管理的重要一環。