https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

捍衛個資 挺身說不:個資外洩處理應變–美國經驗

2009 / 07 / 22
廖邦彥
捍衛個資 挺身說不:個資外洩處理應變–美國經驗

個人資料外洩頻傳,我們必須要有新的、升級的一套系統來讓身分認證可以再次被信賴。而在新的系統完成前,我們又該如何保護自己,減低風險?

  在過去,人與人之前的交流透過彼此之間的認識;隨著時代慢慢的演進,光是靠互相認識的方式來使用個人的身分已顯得不夠用了,社會上需要更有效率的系統來進行個人身分的辨識,每個人開始有自己的「識別」。

  在台灣,身分證號碼一般來說是用來辨識身分的主要方式, 在美國則是社會安全號碼(SSN, social security number)。然而時代演進,舊有的系統變得脆弱而容易受到攻擊,1995年有一部電影「網路上身」,劇情與身分個資遭竊取有關,雖然好萊塢對於資訊安全駭客等主題有著異常的興趣,並且這部戲中許多部份不盡合理,然而卻點出了資訊安全的重要,以及個人資料外洩的危機,正在以飛快的速度衝撞著舊有的身分辨別體系,每個月我們看到大量或者小量的個人資料不斷的被竊取,我想是一個最好的證明關於「我們目前的運作系統隨著時代,已經無法抵抗演化後的攻擊」,因此我們必須有新的、升級的一套系統來讓身分認證這一環節可以再次被信賴。

  而在新的系統完成前,我們又該如何保護自己,減低風險呢?

個人資料再定義

  其實個人資料並不只是身分證號碼或者社會安全號碼,任何屬於非公開,更重要的是「用來當做辨別你的身分」所使用的資料都是我們要著眼的個人資料。除了身分證號碼、信用卡卡號之外, 出生日期、地址、電話等也是顯而易見的個人資料,然而除了這些,任何非公開的資料,包括你唸過的學校、母親的姓(在美國一般人結婚後,妻會隨夫姓,因此常常將此資料使用在身分認證上)等,都是個人資料的範圍。

  而除了身分認證使用外、個人醫療記錄、信用記錄等,也都因為威脅到個人隱私,而屬於個人資料的範圍之內。

  對於保護個人資料來說,大環境的體系、企業組織,以及個人的行為可以說各佔1/3。若是沒有政府規範以及負責的企業/?組織,無論個人多努力去保護自己的資料,成效也是有限;反過來說,就算政府有良好的規範,企業組織也全力的配合,可是個人完全不在意如何去保護自身資料,那麼成效勢必也是有限。整個系統是由法令建構出來, 因此我們先從法律開始看起:

美國個資相關法令

  從70年代開始,陸續有不同的保護個人資料的法令:

? 1974 年美國隱私法(US Privacy act of 1974):政府人員蒐集的個人資料必須適當的被保護。主要是用來規範政府人員必須適當的對於個人資料的蒐集、保存、使用。

? 健康保險流通與責任法案(HIPAA ,The Health Insurance Portability and Accountability Act of 1996),這法案主要用於確保健保資料的可用以及可信性。為了可用以及可信,對於這些個人相關健康資訊的保護有著非常嚴格的規範。

? 美國金融服務現代化法(GLBA ,G ramm-Leach-Bliley Act)規範改善銀行業者對於顧客的隱私以及安全。

  其他還有很多資訊安全相關的法令,雖然跟個人隱私沒有直接相關的規定,但是對於如何保存資料,對於存取資料需要有身分驗證等的規範,也可以說是間接去定義保護個人資料的規範。

  支付卡產業資料安全標準(PCI DSS)被人形容是有著牙齒的規範,因為信用卡聯合會對於未達到這個標準的企業,及信用卡資料被竊取的公司訂出罰責。如著名零售商TJ-Maxx(TJX)在2005年至2006 年之間,至少4,570萬筆客戶資料遭到竊取,而最終於2007年該公司與VISA達成了一項4,090萬美元的協議,這也讓使用信用卡交易的上下游公司,都更積極的看待這項非政府提出的業界規範,進而保護個人的信用卡資料。

  在美國這個資本主義的社會,只要是有獲利的空間,而且又是不觸犯法律的生意,幾乎都會有人做。有一種付費的服務就是幫忙監控你的信用情況,除了幾乎每家信用卡銀行提供這種監控的服務之外,還有一些公司提供全面性監控整個信用情況的服務,一旦發現你的信用狀況有異常即會立刻警告並協助處理,如Identity guard、True credit等。

法令的不足及困難點

  法令最大的用處就是嚇阻外洩的情況發生,因此,利用罰則來達到嚇阻的作用是不可獲缺的一環。美國知名人力資源網站monster今年客戶資料庫外洩,該公除了在網頁提醒用戶更換密碼,以及本身的信譽受損,也就沒有其他可以處罰該公司的法規,另一問題點是,如何認定該公司有沒有盡力保護客戶資料,而在這幾年以內已經是該公司第2次類似的事件了。就在今年2月佛羅里達大學將近10萬名的學生資料(包含學生的社會福利號碼、地址等個人資料)被竊取,校方除了道歉,說明目前沒有發現任何資料被用來作為詐欺的資料之外,也沒有罰則來針對相關事件做出處分。

  而除了法令保護,自己如何保護資料也佔了很重要的一個部分,不隨便將個人資料隨便交給他人,時時檢查財務方面交易是否正常,定期更換保護個人資料的控制項(如帳號密碼),是每個人能夠做到保護自己個人資料的方式。

個資外洩處理步驟

  常常聽到老掉牙的說法,百分百安全的系統是把電源、網路都拔掉,再把它鎖起來,埋到地底下;除此之外,有資料就有被外洩的可能,因此無可避免我們要準備好事後如何正確的處理。接下來先從個人財務方面來看:

  在眾多的資料中,個人的財務資料是最容易被外洩、最有吸引力的目標,我們就由這邊談起,進而衍伸到所有的個人資料種類。在美國,個人信用是相當重要並且仰賴的運作體系,從買車、買房、學費貸款,以至於大大小小的消費都是靠著這個信用體來運作,因次這也是最容易被當成犯罪的目標。一般來說,犯罪的方式不外乎:1. 偷竊使用信用卡號碼來進行交易; 2. 偷竊個人資料(社會福利號碼、姓名、地址,以及其他需要的資料)來申請信用卡,進而非法使用信用卡。這可以說是美國目前最大的問題之一,根據統計,在2007年有將近810萬左右的受害者(註1),不論是政府或者信用機構無不大力的推廣預防以及處理的方式,因此當你一旦發現有這方面的資料外洩時,其處理方式相當的標準化:

開啟一個信用問題的案子

  這個部分,向3大處理信用的公司(註2)其中之一開啟你的案子,這些處理信用的公司有責任去互相通知你的信用可能已經受到犯罪利用了。而在通報之後,便可免費去申請一份個人的詳細信用資料,包括所有的信用卡的消費記錄,在這個時候就要小心一筆一筆的去檢查是否有些不正常的消費。

關閉被利用的帳戶

  對於發現的每一筆被利用的信用詐欺資料,聯絡每一家相關的公司/銀行,要求信用詐欺抗辯的資料表格並且提出抗辯。而如果信用詐欺的方式是罪犯用你的資料開了一個新的帳戶,則可以向該公司或者直接向警察提出身分竊取報告。一旦對銀行的詐欺抗告案子結束,要求被詐欺的款項退還, 並且要求一份由銀行陳述此詐欺案件,留存此信件以防其他任何跟此帳號相關的案件。

向聯邦交易委員會提交案件

  這樣的做法主要是幫助法律執行者可以在整個國家境內,搜尋相關資料並且能抓到罪犯,除此之外,也可以提供這個資料給警察,這樣可以在你的信用資料中將詐欺的資料、詐欺的欠款除去,並且讓在這個詐欺事件中的求款方不能再向你追款,以及可延長你的信用報告中的詐欺警告。

向當地或者犯罪發生地的警察局備案

  如上一項的敘述,向警察備案是多一份保障。看完了關於個人信用資料外洩的處理方式,關於其他的個人資料並不像牽扯到金融問題那麼的受到重視,其他類別的資料並沒有那麼完整的規範及處理方式,但是從上面的處理方式來看,其實也可以依照大同小異的方式,來對其他類型的資料外洩進行相似的處理方式:1.檢查相關的記錄;2. 通知相關單位;3. 向法令或者稽查機關備案;4. 小心的持續檢查是否有其他的事件發生。

結語

  隨著時代的進步,很多舊的流程已不受用,或是需要改進。在資訊流通極其容易的情況,如何對於個人資料外洩的事前預防以及事後處理,已變成這個時代每個人都要學習的課題。但單憑個人力量是不夠的,還要靠政府的規範,及相關組織的配合,才能提供完整的架構,讓一般的使用者、民眾在這樣的系統下配合,一起去對抗現在的個人資料外洩、身分詐欺等問題,看到一線希望的曙光。

註1: 資料來源:http://www.javelinstrategy.com/2008/02/11/new-research-confirms-identity-fraud-is-on-decline

註2: 美國前3大個人信用服務民營機構:Equifax、Experian和Trans Union。