在各地資安事件不斷發生的刺激衝擊下,政府機關與企業遠比過去更注重資安防護,但是此積極應對的態度,似乎仍然無法阻擋駭客組織的入侵,根據Gemalto公布2015年的資料外洩水準指數(Breach Level Index)顯示,2015年全球總計發生1673次資料外洩事件,共約有超過7億筆的資料外洩,然而其中也有多達47%資安事件無法掌握資料外洩程度。而在前述資料外洩事件中,與個資外洩事件相關事件約達53%,且有多達46次重大資料外洩事件的資料遺失量達百萬筆以上,顯見竊取個資依然是駭客獲取龐大經濟的主要來源。
若從產業別來看,儘管發生最多外洩事件是醫療照護產業,其次則為金融服務產業,政府機關雖然僅排名第三,但是總次數已明顯上升,且每次均造成各國政府單位的嚴重恐慌。如美國人事管理局便在2015年7月爆發有史以來最嚴重的資安事件,預估有高達2100萬筆個資被竊取,土耳其政府亦在同年遭到駭客組織攻擊,約有多達5000萬筆資料外洩,而同年底美國健康管理局發生的資安事件更令人吃驚,總計有7100萬筆個資被竊取。儘管個資外洩事件後續可能造成的影響尚且無法估算,但凸顯出政府部門遭到駭客組織攻擊已有愈演愈烈趨勢,無怪乎行政院長張善政便曾公開表示,現今資安事件早已升級至國家安全等級,各政府單位應該積極正視駭客攻擊帶來的威脅。
Gemalto亞太區高級工程師陳昶旭表示,不少人很容易忽略個資外洩事件可能付出的代價,以美國紐約州在2013年發生730萬名民眾的個人資料外洩為例,該州檢察長Eric T. Schneiderman便指出前述事件將會為紐約州企業帶來13.7億美元的損失。而南韓在2014年爆發高達2000萬筆身份證字號外洩事件,其中更包含總統朴槿惠的資料,迫使當局一度考慮重新換發身份證字號,已降低資安事件後續造成的影響。儘管該身份證字號更換措施並沒有實施,但也足以證明個資外洩的代價相當高。
三大面向著手 Gemalto協助政府保護個資
在企業每年投入資安預算日增,但駭客入侵事件卻沒有減少的狀況下,Gemalto建議企業與政府機關要體認,世界上沒有完美無缺的資安防護機制,因此要接受資料外洩事件可能隨時爆發,不妨從打造一套有效資料保護機制著手,自然能夠降低資安事件帶來的升級。簡單來說,資訊人員應該要先開始盤點機關內的各種資料,找出最需要保護重要資料與個資後,再透過資料加密、管理公鑰、管理使用者存取權限等步驟,即可有效降低個資外洩帶來的衝擊,而以及提高鄉鎮公所安全等級,亦是資安人員不可忽視的重點。
陳昶旭指出,預先針對重要資料加密,已成為各國政府保護個資的共識,如美國聯邦政府便以「聯邦雲端運算策略」(Federal Cloud Computing Strategy),規定聯邦政府之間必需採用雲端服務,只是在雲端時代來臨之際,僅有少數公司具備足夠安全認證技術可以提供FedRAMP認證的解決方案,特別是當將資料交給提供公有雲服務的第三方業者,要如何處理與儲存資料都是極為艱鉅的挑戰,往往又會衍生出其他新的法規遵循與風險管理問題。而在臺灣政府機關方面,則在行政院主導下推動去識別化制度,以符合新版個資法的要求。
臺灣政府機關推動的去識別化制度,只要是依照CNS 29100規範而成的機制,主要在規定共同隱私權專門用語、定義處理個人可識別資訊(PII)之行為者與其角色、描述隱私保全考量、對資訊技術之已知隱私權原則提供參考資料。在行為者及角色設計上,則分成當事人、控制者、處理者等模式,方便管理人員能夠依照不同角色,給予適當存取權限,快速建構一套完善的資料保護機制。
Gemalto 提供全球企業安全解決方案中最完整的產品組合,客戶將能享受到領先業界的資料、數位身分、支付和交易保護─涵蓋邊界到核心。Gemalto 最新擴展的身分和資料保護產品組合,讓橫跨許多垂直產業的許多企業,包括大型金融機構和政府等,都能採取以資料為中心的作法取得安全,使用創新的加密方法、同級最佳的加密管理技術,以及強式驗證和身分管理解決方案來隨時隨地進行保護。
而Gemalto金鑰不僅符合多國法規需求,亦能夠協助臺灣政府機關打造符合去識別化的個資保護機制,確保敏感的公司資產、客戶資訊和數位交易資訊能避免曝光和被利用,甚至能夠將該制度延伸到鄉鎮市公所之中,達到降低駭客入侵的機率。至於最重要的金鑰保護機制方面,也能夠依照行政機關需求存放機關本身,或者放在所屬中央主管機關之中,搭配臺灣合作夥伴的技術支援服務,能夠讓各公部門輕鬆迎合新版個資法規的規範,降低個資外洩可能帶來的風險。