觀點

個資便宜信賴無價之(一)層層揭開都是洞,全是駭客惹的禍?

2010 / 04 / 27
吳依恂
個資便宜信賴無價之(一)層層揭開都是洞,全是駭客惹的禍?

最近購物平台又出事了。資料外洩的購物平台換了一個,依然可以看見各大新聞報紙紛紛報導,不過出事的原因還是一樣-沒人搞得清楚。電子商務依然是一個混亂而新興的產業,很多事情都還在發展中,即使是同一家公司,過去曾經出過問題的癥結也難保下次不會再有,這個產業是一個複雜、變化快速且蘊含商機的新平台,無法用時間或環節來統一歸類,發生事情原因多半是混合型的,無法單一歸類的個資外洩原因,其實是一個很接近現實的狀況。

 

「我們每天關在房間裡跟客戶開會,就是想要知道到底是哪裡出問題啊!」KPMG資訊科技諮詢服務協理謝昀澤說。警政署犯罪預防科警務正常金蘭提到,EC特性是客戶族群大且不容易掌握。除此之外,其整個物流的末端也是資安較不嚴密的部份,以過去追查的經驗來看,還曾經有詐騙集團可以清楚說出是在哪間超商取貨?幾點幾分?哪個工讀生負責簽收等資訊。

 

目前問題可分作個資外洩與ATM詐騙,而個資外洩可能會導致ATM詐騙,形成治安問題。而外洩的環節當中,最末端的個人安全往往都是一個難以控管的死角,有時候的確是個人電腦被植入木馬造成資料外洩,單一個人問題還好,如果這個「個人電腦」是購物平台上的一個小供應商,就有可能會成為其中一個入侵的漏洞。

 

內政部警政署資訊室主任李相臣從治安的觀點看資安,他說,網路犯罪率一直持續上升,而這其中罪犯的未成年比率已達1/2,網路犯罪的形成是犯罪集團金主與駭客集團的結合,兩種智慧加在一起,在網路世界形成一股犯罪新勢力,而一般的使用者卻還沒有跟上來,以為只要設帳號密碼,以為只要有防火牆、防毒就安全了,資安的數位落差已經造成一般使用者受害的原因之一。他甚至建議,如果有重要的轉帳交易,不如在公司電腦做,平常至少有資訊人員幫忙把關,還比在家上網來得安全。

 

不被揭露的真相  看不見的資安

KPMG資訊科技諮詢服務執行副總張允洸提到台灣對消費者保護的法律並不足夠例如新的個人資料保護法一直遲遲未通過舉證責任依然在消費者身上。又,當發生了資安事件,或許通報給主管機關、受害者,或許新聞媒體會自己去挖出一些真相。但資訊並未透明化,受害的購物平台自然也是草草遮掩、不欲人知。張允洸認為,政府應該主動且積極的將這些資料開放給大家查詢,例如歐美國家就有資料遺失資料庫(Data Loss Database)http://datalossdb.org/,裡頭可以查詢每筆個資外洩事件背後的始末,現在台灣有「政府資訊公開法」,但雖然有這樣的精神卻沒有執行力,若想要了解台灣的個資外洩事件,就必須要通過政府複雜的申請程序,卻還沒有辦法看清楚事件的全貌。

 

他舉例,有些金鑰的演算法是公開的,讓大家審視、挑戰,卻依然無法破解,這才是真正的安全,絕不是把事件掩蓋起來就會安全了。今日我們的資安事件依然不夠透明化,所以一個資安事件甚至會在同一個地方一而再、再而三的發生。“Security based on visibility.” 張允洸如是說。

 

當我們要購物的時候,可以在網路上比價,看看哪個比較便宜?配送質如何?但是我們對於網站資訊安全的程度完全無法掌握,因為資安資訊是不透明的,每個人對各網站的安全度,都是看新聞、聽小道消息,或是憑感覺得來,消費者無法挑選比較安全的網站來購物,在採訪過程中,我們追問資安專家、顧問們,他們或許可以說出片段原因,但卻鮮少可以就整起事件明確的剖析,如果人們只能了解片段,也就只能從片段來解決。

 

Payeasy公共事務推展部協理陳中興說,各種環節都有可能出錯,payeasy在線上購物平台的詐騙成功率是零,這是由於當時payeasy一發現異常,在犯罪集團尚未行動時就趕緊開記者會跟消費者示警。但是,曾有某次與電視節目合作,透過電話銷售,結果有三名payeasy的客戶(但非網購會員)遭到詐騙成功,事後經過調查,發現該節目委外的行銷公司有問題,與之配合的其他網購、電視購物業者資料也都遭到外洩。當時payeasy也針對此三名受害者贈送慰問金,但是發現受害者多半不願意報案覺得很丟臉,甚至有名婦女因瞞著丈夫購物且被詐騙,事後不僅被丈夫毆打,甚至鬧得要離婚,更堅持不肯報案。受詐騙者所受到的心理、社會衝擊其實是很大的,雖然僅僅只是三萬元。(ATM轉帳最多三萬)

 

而現在的狀況是,出過事、願意改善的購物平台,可能較有豐富的處理經驗,多付出一點努力來防禦,於是犯罪集團發現必須要付出較多成本才能再次得逞,就轉向尚未「開發」過的購物平台處女地,於是大家變成輪流中獎,於是後來受害的人,去向之前出事的人請教該怎麼辦?如何對付這些惡意的集團、駭客?要怎麼做才可以讓商譽損失降到最低?企業內部應該有什麼樣的流程可以因應?這些受害經驗的處理很寶貴,但是僅有部份業界私下累積,難以公開分享,如果再有人受害,誰可以幫助他們?常金蘭說,很可惜,政府甚至沒有一個專門處理的單位可以協助這些業者,有些人會向她請教,但更多人會選擇悶著頭自己做,這之中有著同業競爭等等的考量,就算是私底下的管道,也不見得暢通,還得看人脈、看管道,能不能找到人來解決。

  

特殊產業特性 組織變動大、權限難掌控

曾經去處理過這些購物平台個資外洩的資安業者說他說不少次其實都是上游的供應商或下游的物流業出事情不過大家難免還是抓著這些比較知名、大的平台打。當然,有時候這些平台業者是自己真的出事,有時候也很無辜,如果是跟一般中小型的電子商務業者比起來,資安算好的了,但由於目標大,相對攻擊也就多。

 

柿子,當然是挑軟的吃。Yahoo!奇摩電子商務事業群總經理何英圻曾說過,詐騙是有相對成本的,假設安全可以做得跟銀行一樣的話,駭客為什麼不乾脆去找銀行就好了?他認為推動資安,只要公司重視的層級夠高,投入足夠的資源以及有效徹底的執行,時間就會站在投入的那一邊。

 

先談外部攻擊。面對駭客攻擊的主因已經比過去少很多,尤其是大型的EC業者,各式各樣的資安技術、軟、硬體設備在這些電子商務的業界裡都不缺乏。資安顧問楊伯翰表示,有兩點是近來電子商務業者比較強力防護的部份,Web Security - 過去常見的網頁安全威脅如SQL Injection、XSS等幾乎已經很少見到。電子商務業者已經關注到網頁應用程式安全的部份,有些業者不僅會做滲透測試、原碼檢測,包括架設網頁應用程式防火牆等。DB欄位加密 - 有些是資料庫自己支援這樣的功能,有些則是透過第三方軟體做,而大部分都是寫程式的廠商來做,簡單的說,其實是存已加密的資料到資料庫裡去。一般來說並不會直接加密資料庫,對資料庫的負擔將會過重且不切實際。至於傳輸過程中運用SSL VPN加密、權限控管使用token或OTP雙因素認證密碼等,也依各EC業者資安程度的不同而有所運用。近來,亦有業者開始預備資料庫稽核的導入,不僅能夠因應未來個資法令的需求,亦能防範內部資料外洩,這也是過去比較少著墨的地方。

 

這些IT資安防禦解決方案也是具有IT背景的業者在第一時間就會馬上去佈署的部份,尤其是台灣公司。張允洸觀察,若是外商則會先研究其問題原因、流程管理等。不過,道高一尺、魔高一丈,面對新的入侵攻擊總是會有需要改進的地方,所以投入資源的點要對,且承認自己的架構並不安全、持續改善。此外,即使是大型的平台業者也會面臨到一些基本的系統問題,例如部分系統或許是原生,但部分則可能是購自國外,像有些ERP系統來自國外,如果該公司對該系統的控制力不夠時也容易發生問題。此外,資安顧問李柏逸表示仍然還有一些小型的電子商務業者,由於沒錢、沒人、沒資源,所以網站上依然還存在著漏洞,甚至開始在會員條款上面鑽漏洞,明定「會員資料被第三人以非法的方式進入系統,對資料庫做修改、破壞、複製會員資料等動作,會員不能對公司要求任何賠償或補償。」,以求規避未來個資法可能衍生的法律責任。

 

再談內部資安控管的問題。EC產業特性與其他產業不同,可能全公司都多少具有IT背景,甚至總經理可能是IT技術最強的那個。曾有過一個案例是-總經理特助擁有全公司所有系統所有的權限,原因是,總經理隨時都要看。張允洸說,「這是相當荒繆的事情,應該要有職權區分(SOD, Separation of Duty)的觀念,要可以互相監督、制衡。」

 

但其實,電子商務產業對權限的界定是非常複雜而困難的,這個產業的特性就是組織變動非常快且巨大,電子商務時常要推出新的業務,像是貨物迅速拓展到香港、大陸等通路,可能就會有輪調的狀況出現。即使是IT人員也是,可能沒多久就又換了一批人或身兼數職。謝昀澤舉例,有時候甚至於連角色的都很難描述得清楚,最後只好說「我的職權跟某某一樣」。為了要達到「最少的資訊揭露原則」,就要一一審視每個人的工作需求為何?之後,又要再對應到可能會有什麼樣的存取權限。而在組織變動如此大的環境下,可能就得定期審視工作說明書,才能確保人員權限都能適得其所,這並不是一件容易的事情。

 

最後,是上下游的協力廠商。可分成兩個部份,物流業者及供應商。

 

物流業者雖具資安意識 還有待落實強化

物流業在今年以前是較為脆弱的,但如今都有所改善。物流業今年重視資安的驅動力,主要是來自主要業主-也就是契約客戶或企業客戶,對於電子商務供應鏈客戶資料保護的共同要求,甚至部份EC業者已經將物流業資訊管理與資安執行指標,做為配送運量配置的重要參考。

 

各大電子商務業者目前多半已針對委外作業進行更細微的檢討,由於每家電子商務配合的物流大致上都會有3家以上,金流約有5家以上,而這都是比較容易一一開會、檢討、要求的部份,檢討的程度更是到達相當細微的程度,包括表單內容、列印、流程等,IT技術要求已經是很基礎的,例如加密,甚至像是SCM供應鏈管理的模式,電子商務業者甚至會去設計一套流程搭配管理、系統設定等方法,讓物流業者可以低成本卻依然有效率的將客戶貨物送達(見圖1)。

 

謝昀澤覺得在今年可以感覺到,物流業者真的已經受到EC業者的很大壓力。尤其在經濟不景氣之下,物流業靠著電子商務「宅經濟」的影響,還可以生存得不錯,如此看起來,EC業者已經是相對的強勢。物流業雖然較為傳統,但其實大部分的物流業者都已經「知道資安」了。

 

舉例來說,KPMG去年底也審視了一些物流業者,有幾個狀況出現,例如物流業知道機敏資料要加密、備份,但是金鑰的管理卻可能全都繫在一個工程師身上。另外,也有3家物流業者,也知道電腦要做權限的控管,但是列印端卻沒有鎖或是USB沒有控制。多半都處於「知道資安重要性,可是卻沒能執行得徹底。的狀況。此外,物流業也有不少老舊的小系統,可能無法支援安全設定,例如密碼設定的原則等,結構上的問題。又例如購物網站PayEasy就曾經在審視某合作物流業的網頁,發現線上查詢貨物進度,輸入訂單編號後即可show出當時簽收的影像原始檔。問題在於,只要輸入訂單編號+1-1,就可以看到別人的簽收單。在這起事件發現後,物流業就第一時間被要求將該功能下架,然後雙方開會建議改善。

 

而原先,就有些EC業者便會不定期去稽核物流業者?但是多久稽核一次?是否徹底?則要看各家的執行力而有所不同。近來,亦有不少EC業者與物流業者針對資安規範重新訂定、審視合約,並且開始進行協商,目標希望物流業者在明年中之前可以導入國際驗證標準,如ISO 27001,不過細節也都尚在評估中。

 

供應商有大有小 難以對付的危險個體戶

由於供應商有大有小且數量眾多不容易去討論或要求有些供應商賣的產相對強勢購物平台業者可能無法在合約裡要求太多又或者供應商太小也無法要求對方投入過多成本這都是平台業者較難掌控的一塊。

 

「那陣子平台業者、我們、警察都有人分批去處理過,去看過後你就知道多慘了,供貨商常常都是一、兩台電腦,一間小倉庫,打電動跟處理訂單都用同一台電腦,而實際出貨的也都是供應商,所以供應商手上會有詳細的客戶資料,輪替率又很高,不少還是上班族兼差的副業」資安業者如此形容。

 

現在也有些網購平台業者提出辦法,例如要求供應商將與電子商務資料庫相連的電腦進行實體隔離,並且透過權限控管,例如payeasy就主動提供該供應商一次性的動態密碼工具(one-time password),規範其供應商需使用OTP Token才能夠與之進行資料交換。有的業者改善其供貨流程,減少供應商直接觸碰到客戶個資,例如說透過與物流業,片段給予供應商與物流商資料,供應商可能僅握有出貨數量與物種類,物流商可能僅有訂單編號資料,並直接從供應商取貨再交付予消費者,盡量減少每段流程中可能接觸客戶資料的單位,擁有完整的資料,僅提供所需資料,切割成片段亦有助於事後追蹤外洩管道,並持續改善。不過,這些要求看起來都還僅能規範到稍具企業規模的供應商,供應商越接近「個人」規模,就越難以要求,這也都必須返回至自提升資安意識做起。

 

至於責任歸屬問題,購物平台業者多半在合約裡與供應商有保密協定的規範,但由於個人資料保護法遲遲未通過,多數業者還在觀望,目前並沒有明確規範未來違反個資法時,需付損害賠償責任各自的範疇。然而這是一個相當現實的問題,沒有法律合約的規範,誰理你?

 

結論

各購物平台在幾年前開始輪流出事,雖然剛開始都態度不佳予以否認,不過在社會輿論下、商業形象、主管機關要求等因素驅使下,也都開始默默的進行一些管理制度、系統導入等,可以收緊、收攏的部份也都開始緊鑼密鼓進行,只是,還有許多溝通、人為的環節,還需要政府大力協助,還需要標準來規範。