強化組織資料防護的意願事件通報機制角色不容忽略

2017 / 08 / 03

編輯部

不管是營業秘密還是個人資料，談到資料防護，第一個提出的問題是「Why」。企業/組織為何要做資料外洩防護？簡單來說就是避免損失，而造成損失的主要原因，不外乎是來自1.營業利益、2.商譽的減損、3.違反法規所引發的各項罰則。以下我們將從政府與非政府產業兩方面來進行說明。

政府機關洩密
以政府機關來說，最常見的是個資外洩的情況，像北市府、高市府與教育局發生的案例，這類事件常起因於公務人員非故意疏失所造成的個資洩漏。另外常見各級學校所發生的學生個資外洩也是性質類似，都是由內部人員因作業疏失所產生的突發外洩事件。

而外交部領務局則是來自外部駭客的蓄意攻擊所為，在我國特殊的兩岸情勢下，許多政府機敏機關都成為中國網軍的攻擊對象。相較之下，像新竹空軍基地、大甲分局所發生的內部人員故意洩露個資的情況，則是屬於較少見的個案。反倒是軍方人員被吸收為共諜導致國防機密外洩可能是國安單位該注意的地方。

非政府機關洩密
非政府機關洩密的情況較複雜，在此我們簡略區分為營業秘密與個人資料兩大類別。

．營業秘密外洩
以營業秘密來說，像近幾年發生的中石化、聯發科、台積電、葡萄王生技等，這類型洩密主要以高科技產業為主，也是資安廠商調查中最常前往詢問的產業，對所需保護的機密為何與需要哪類防護產品也較有概念。外洩的特點就是損失金額龐大，動輒以千萬、億計，因此這些案例的大都由企業本身主動查獲，由此看出企業針對營業秘密的保護相對積極主動。

但要留意的是，營業秘密並非僅限高科技產業，2017年發生的葡萄王生技遭內部網路洩漏，及農友種苗的種子父母本被盜取這類非高科技企業，也可能因為家族經營糾紛等其他因素，而成為機密外洩的受害者。但總的來說，這類掌握高價值營業秘密的企業大多有強烈意願來保護這些機密，只有少數企業尚未有此意識而需提醒教育，或缺乏適當產品/制度的導入。

．近半不起訴，僅2案判決成立
有時即使認為已做到充分的防範，但真發生外洩事件時仍會出現預期之外的情形。今年5月11日由新竹地檢署與法務部調查局、竹科管理局、科學園區同業公會聯合舉辦的「營業秘密內控措施與犯罪偵查作為」座談會，有81間廠商，上百名企業主管與法務人員出席，由此顯見高科技產業保護營業秘密的強烈意願。會中法務部長邱太三提到，從2013年營業秘密法修正實施以來，檢調單位已累計偵辦57件營業秘密案，其中有27件起訴，但僅2件判決成立，這對受害廠商來說是難以接受的結果。

臺灣新竹地方法院檢察署檢察官劉怡君分析這些不起訴及無罪判決的案件，認為主要與欠缺合理保密措施、欠缺秘密性與營業秘密不特定三因素相關。她進一步舉例像有些企業內部稽核機制不足，無法提供足夠的事件記錄，以致於無法確認被告員工竊取資料為何？當然也無法證明員工的犯罪事實。像這類情況，除了司法單位需加速偵辦流程外，企業對外洩防護產品的建置方向，就得從原本以事先預防阻擋，調整為舉證稽核記錄，提高營業秘密定罪率，才能有效遏阻員工洩密。

．企業個資維護意願較低
另一個常在媒體新聞上所看到的，就是個人資料的外洩。這類個資外洩的類型較多種，像是電子商務、醫療、金融保險、觀光旅遊產業都可能成為受害者。最常見的是因駭客竊取客戶個資後，再謊稱帳款錯誤並指示消費者到ATM操作的詐騙案件，像是近五年發生的HITO本舖、可樂旅遊、華信航空、台灣酷朋等案例。這類外洩事件對企業的傷害主要來自於商譽減損，與違反法規的引起的罰則。但商譽減損造成的營業損失不夠明顯又難以量化，而個資法雖規定求償金額最高可達2億，但實際企業遭求償的案例與判賠金額相對不高，使得企業在個資維護上的意願相對較低。

我們從案件曝光到處理過程發現，這類外洩事件通常都要等到消費者接到詐騙電話後，企業才會查覺已遭攻擊入侵，且處理過程中態度消極，甚至有延後通報的傾向。因為外洩事件只要不被報導，就不會影響到消費意願，且多數消費者不會進行訴訟求償，讓企業認為只要低調處理就能儘量減少傷害。

另外，我們也發現在事後的改善作業上，不管是找資安公司進行行調查，或加強網路防禦，幾乎都是從事件通報後才開始運作。所以針對這類型的外洩，要增加企業在個資防護的意願，首先就是要強化事件通報機制。

．金融業有賴主管機關監督
至於掌握大量客戶消費個資的金融保險業者，當然也是個資防護的重點產業。尤其金融業者本身資本額龐大，且對比其他產業，主管機關金管會對其下所屬金融機構監管較嚴，使金融產業投入個資防護相對積極，也具備較高的資安意識。所以較常發生的是像近三年發生的南山人壽、統一投信及永豐銀這類因內部人員一時疏失造成的個資外洩事件，事件發生後也會較主動通報監管單位，以免受罰。

強化事件通報機制的必要
事件通報的好處在於可讓民眾提高警覺，減少被詐騙成功的機會。另一方面則是給企業組織壓力，迫使企業管理階層正視個資外洩引發的問題，以免顧客因詐騙疑慮而降低消費意願。以內政部警政署165反詐騙諮詢專線為例，消基會於4月26日所公布的「消費者對資訊安全的認知與作為」問卷調查顯示，92%民眾遇到詐騙事件時會尋求165反詐騙專線協助，顯示165專線已成為民眾最熟悉的詐騙防治管道。而165專線也會根據民眾的通報，公佈高風險賣場的累計排名，如圖1所示。相信多數的企業主或IT主管都不會希望自己企業的名字老在名單之上。

圖1：165專線公佈的高風險賣場統計

不過可惜的是，目前似乎只有165網站會公布當周的排名統計。如果有其他主管機關能積極參與，如同165一樣揭露更多詳盡的統計資訊，像依不同產業別；或是除了當周的統計排名外，也定期公布各月、各季的累計排名，相信對個資防護不力的企業廠商會帶來更多的壓力，促使其改善安全維護措施。

企業通知義務形同具文
當然，事件通報的本身無法阻擋個資外洩，但這卻是促使單位組織執行資料外洩與改善資安防護的一個開始。另外，政府對法規的執行確實與否，和相關的司法判決結果也都是影響企業對個資保護的因素。今年4月消基會發佈的個資外洩新聞中指出，「非公務機關對大量個資外洩無感」。根據消基會統計，近3年企業個資外洩事件高達200萬筆，若以單一事件最低500元的賠償金額來算，企業就得付10億給被害人。但實際上除了銀行曾因個資外洩遭金管會開罰外，媒體上幾乎沒聽過有企業因個資外洩遭判巨額賠償的消息。

新聞中也提到，因為現行法規中的企業通知義務形同具文，讓被害人不易得知個資外洩訊息。另外，民眾求償要件與程序嚴苛，加上主管機關態度消極且行政罰緩過低，使得非公務機關不僅對個資外洩無感，也降低對改善安全維護措施的意願。所以現行法令未修改前，主管機關應落實對所屬機構的安全維護作業檢查，並按規定裁罰，才能加強企業投注個資防護的意願。

公務體系需善用法規強制力
公務機關發生的洩密事件，當然無法像一般企業以營業損失做為加強安全維護的誘因，即便真要進行政究責，也未必能追究承辦人員的責任。以北市府這次「薪資發放管理系統」為例，主要導因是15年前設計系統時的盲點，碰上現今發達的網路搜尋環境所產生的個資走火事件。當初系統設計時沒有今日的網路環境，之後業務承辦人員則是延續以往的作業方式，所以最後也難以歸咎是誰的責任。按傳統政府單位常見的官僚作法，就是每個人都有責任，結果統統不用負責。

因此，消基會在今年3月的公務機關個資外洩記者會中，才會批評公務機關對於是否有違法失職？民眾個資流向何處？及可能產生的損害為何？等與消費者權益相關的問題無人回答，並質疑政府單位在資安議題上的消極與怠惰。

但也因為這種官僚體系，使公務機關或一些監理較嚴格的產業對於法令規範有較強的執行力。在這次的廠商問卷訪談中，也顯示因法規遵循的需求詢問或求助資安廠商的以政府機關、金融業居多。所以當上級主管機關重視個資外洩的問題，嚴格要求所屬單位進行事件通報時，層層節制下來，即便到最後無法對特定人員/機構究責，但實質意義會大於形式意義，自然會促使單位承辦人員按規定執行各項維護作業，減少外洩事件發生的可能。

資料外洩資料防護