一間公司如果發生資安事件或資料外洩,第一次可能是技術問題,或管控機制上的疏失,但如果連續幾次以上,很可能是公司管理階層根本不在意,內部管理制度鬆散。
最近的個資外洩事件接二連三,國內、國外皆然。除了台灣前陣子的金流業者被發現數百筆個資遭Google耙走之外。最近十分火紅的還包括中國軟體開發聯盟CSDN的600多萬筆帳密,以及美國情報組織Stratfor連續兩批總計被公佈約90多萬筆個資,甚至部份客戶信用卡還被盜刷。澳洲電訊Telstra也不落人後,12月初才因數百萬筆帳密外洩而遭澳洲聯邦隱私委員會(Federal Privacy Commissioner)調查,2012年又隨即傳出有上千筆的客戶個資被張貼在一個雲端試算表服務網站Editgrid.com上。
歸納這些事件,CSDN等網站與Stratfor是遭駭客入侵。而金流公司與澳洲電訊則與人為疏失有很大關係,金流公司的問題,在本期雜誌上將有完整報導。而澳洲電訊最近一次的資料外洩,則是因為某位職員為了工作要利用的關係,而將這些資料存放在雲端平台上又不慎將資料對外公佈。這樣的錯誤其實對員工實施教育訓練,同時設定個資存取管理制度與權限,應該就可以避免,如今澳洲電訊得再次面對調查,同時還得一一通知上千名資料被外洩的客戶,以及相關應變措施。
不知道自己哪裡還有資安漏洞,除了找專業顧問做整體評估健診外,從事件當中學習也是好方法,相信這次之後,所有網站密碼都應該知道不能再儲存為明碼,信用卡號要遮蔽、重要資料做好加密。尤其,將來若資料外洩得面臨法規罰責時,人為疏失所導致的外洩,應該比駭客入侵更責無旁貸。