報告老闆：資安做的好，客戶不會跑

建立品牌商譽
在上一期我們以美國連鎖店TJX外洩4千5百多萬筆信用卡資料事件為例，談「建立信賴得靠資安來擦亮品牌」，文中提及該起事件雖不盡然是導致TJX今年第一季營收下降的主因，但TJX為此事件即將付出的危機處理、賠償費用，勢必直接對今後的獲利能力造成影響，而品牌商譽所受到的打擊更不知需要多久才能重新建立。的確，將客戶資料外洩對商譽的打擊最大，但影響商譽的絕不僅止如此。



資安事件重創企業形象
談到資訊安全，不外乎是企業為了保護內部IT基礎設施的可用性、可靠性、完整性以及機密性。但事實上，資安事件所帶給企業的影響已不僅限於企業內部，包括將個人資料外洩所導致客戶產生不信任感；假冒官網的釣魚網站層出不窮，也讓民眾對線上交易感到退卻；企業想做eDM行銷，卻成為垃圾郵件黑名單。這些事件都與企業形象及商譽有關。

客戶資料外洩，尤其一旦經媒體披露很可能會影響商譽，甚至被競爭對手用來大肆批評，也因此企業就算發現有客戶資料外洩的事端，也多半低調處理，即不通報、不承認。的確，除了某些案例因確實被檢警單位或主管機關查出資料外洩的證據，而遭到懲處之外，例如台新銀行因立委爆料的新聞事件，而被注意到信用卡持卡人資料外洩問題，已於今年5月遭金管會處以停止新卡發行一個月及新台幣200萬元罰款；幾年前健保局與中華電信也都曾發生內部不肖員工與外部組織勾結並販賣個資的事件。目前僅公務機關與包括金融、電信在內的八大行業受到電腦處理個人資料保護法的規範，其他組織即使外洩了個資卻仍然無法可管。不僅如此，個資外洩的受害者也因為舉證困難，求償後能順利獲賠者恐怕只有少數。因此不少經營管理階層也就抱持著人們記憶總會被淡忘的心態，不重視此問題。但將來若個資法修正草案在立院三讀通過後，所有法人機構、工商行號都適用於此法，而且將由告訴乃論罪改為公訴罪，檢警只要接獲檢舉就可主動調查。因此企業不能再抱持僥倖心理。

如果越來越多的事件都是因未做好資訊安全管制而導致，企業面臨接連的打擊之後，恐怕再多的行銷、公關手法都難重新建立企業品牌形象。例如從去年底開始，許多企業、組織的正式官方網站遭植入惡意連結，瀏覽了該網頁的使用者若個人電腦防護等級不夠，就可能被引導到惡意網站後被植入木馬程式，接著是個人帳號密碼的外洩。這部份的事件在本雜誌資安烽火台單元有詳細報導。

連結上官方網站也有可能中毒！搜尋引擎Google已開始在搜尋結果中，對含有惡意程式在內的網站提出警告：『這個網站可能會損害您的電腦。』此舉對經營電子商務的企業來說影響尤其大，這已不僅僅是像過去首頁被駭客置換，頂多造成該單位顏面無光，趕快復原網頁就好。一旦網站被Google貼上警告標籤，網友極可能轉向其他同質性網站消費，這時想挽回網站到訪次數，花再多錢買再多關鍵字廣告也許都沒用。另方面，對該問題網站管理者來說，想要拿掉警告標籤，得向Google提出申請，經過重重安全檢測，確定網站已無漏洞及安全威脅，才有可能移除警語。據了解，這個過程並不容易。

網站，已成為企業門面的另一象徵，因此網站安全將對企業商譽形象產生影響。但除企業本身網站的安全問題之外，假冒企業網站用來欺騙使用者的釣魚網站也越來越多。根據刑事局今年初的統計，駭客集團為了更有系統地竊取個人資料，於95年12月起密集架設假網站，至少已架設十家假網路銀行、二家航空公司、四家電腦科技公司、四家旅行社、一家人力銀行及數個理財網等50個以上的假網站。詐騙集團彼此之間甚至進行資料交換，取得更完整的個資以便進行更狡猾難辨的詐騙。對照Anti-Phishing Working Group的統計，2007年5月全球被偵測到的釣魚網站總數為37,438個，其中含有鍵盤側錄程式（Keyloggers）的網站有3,353個。不令人意外地，金融服務業仍舊是釣魚網站攻擊主要鎖定的目標，高達96.9％。

過去，金融業者習慣以老大心態自居，使用者若不慎連上釣魚網站或被植入木馬程式，導致網路銀行的帳號密碼外洩，甚至產生金錢損失，銀行業者常歸咎於使用者本身的疏失。但現在，國外已有越來越多的金融業者，採取更積極正面的態度，為客戶提供更多線上交易的安全保護服務，隨時主動監測仿冒自己的假網站並加以封鎖。在高度競爭的時代，已經有業者提供了這項服務，其他企業難道還能置身事外？

除了資料外洩、網站被掛木馬程式以及釣魚網站等可能影響企業商譽之外，企業在進行e- mail行銷或發送電子報時，可曾思考過這些郵件如何不被收件者視為垃圾郵件，並且達到行銷目的最大化？又是否曾在發出信件卻不斷被退回時，才發現自己的郵件伺服器已被入侵並且成為垃圾郵件發送主機，甚至被提報到RBL名單（Realtime Blackhole List）上。這更將是大大影響商譽的事。關於垃圾郵件的收送問題請見後文報導。


對企業主以正面訴求好過恐嚇行銷
上述資安事件一旦發生，攸關著企業形象與商譽，但在現實環境上，台灣企業不像美、日企業需面臨各種法規遵循及外部稽核的壓力，因此不得不作好資訊安全。台企業就算發生客戶資料外流，也沒有法規要求一定得對外通報。包括個資法修正案與濫發商業電子郵件管理條例草案，都仍在立法院等待排入會期。法規因素對資安市場雖有直接驅動作用，但根據資安業者的觀察，企業經營階層也已逐漸重視資安問題對企業經營的影響。

日前在防毒軟體產品中加入網頁信譽服務的趨勢科技，台灣區總經理洪偉淦指出，目前台灣企業CIO比較重視的資安問題包括：網站安全、資料外洩與內部管控。尤其是擔心網站被發現漏洞後，所可能帶來的負面影響。甚至還有某不願具名的金融業CIO表示，決定將所有對外提供服務的網頁應用系統，大規模地重新做程式碼檢測。

金融業受到較多法規要求，算是比較重視資訊安全。「應該也可說是重視資安的氣氛已在金融業界慢慢形成，」洪偉淦說。國外企業受到法規要求，一旦發生資安事件就要對外通報，但有趣的是，後來發現大家都在通報。所以這類事件比較不會被當作攻擊的箭靶，但台灣企業就很掙扎了。

代理HackerSafe網站弱點偵測與信賴標章服務的數位資安總經理蘇隄表示，目前台灣地區經過Hacker Safe認證的150個網站中，約四成是為了符合支付卡產業資料安全標準（PCI DSS）而來，其餘都是為了強化自身網站安全。蘇隄進一步表示，網頁貼上信賴標章之後不僅能提升形象，對於訪客－顧客轉換率及單筆交易金額的提高都有助益。除HackerSafe之外，包括VeriSign、CyberTrust都有提供網站安全認證服務。在PCI 安全標準協會網站上（如圖2），詳列更多經過該協會認可的安全認證廠商名單。

至於對那些沒有法規壓力也不是從事電子商務的企業而言，就算發生資安事件只要自己處理掉，其實影響商譽的層面不大。中華數位總經理劉孟達認為，企業主應該將資安事件視為企業風險管理的一環，不是沒發生問題就不用管理此一風險。

防毒軟體卡巴斯基台灣代理商奕瑞科技總經理張義淵則指出，過去的銷售模式總是採取恐嚇行銷，警告企業主如果不佈署資安設備，將來發生資安事件可能造成○○金額的損失。但這樣的訴求對台灣企業主並不管用，他們反而會認為資安事件也不見得會在自己身上發生，但現在設備一買卻肯定先造成XX金額的費用開銷。所以台灣企業主到後來多半有鴕鳥心態，認為自己不會那麼倒楣。張義淵接著表示，現在希望經銷商能多以正面方式來訴求資安產品與服務，扭轉企業主過去對資安都只停留在花錢的概念，轉為能幫企業賺錢。例如對線上遊戲業者或網路銀行來說，強化了本身伺服器的安全等級才能提供網友們更好的使用經驗，增加企業的差異化服務，所以做好資安對營收也有正面幫助。



長榮航空：平常就要有一套緊急應變機制
長榮航空電算本部副總經理方國憲表示，IT風險的確與企業形象息息相關，甚至也會影響財務表現。尤其對長榮航空資訊部門來說，不僅是為內部使用者提供資訊服務，也同時要對長榮貨運及客戶等外部使用者提供IT服務。因此，舉凡所有自行開發的應用系統在結案遞交前，一定會經過嚴謹的QA、QC等品質管制程序，來確保系統品質使客戶滿意。方國憲笑說，「有外部配合廠商還反應說，從我們這樣嚴謹的系統管理過程中學到不少呢，」這又是IT提昇企業形象的例證。長榮航空重視資訊安全，所有的努力都是要防止資安事件發生，但若真的發生資安事件，則是要想辦法將損失降到最低，這包括緊急應變措施。長榮在這方面一直以來都有制定完整的流程機制，包括事件發生後，各部門該負責哪些工作，例如公關部門該如何對外處理、說明等，每年也會就這些部份進行演練。

長榮建置有許多電子商務方面的網頁應用系統，如今面對各種Web安全威脅，除了在中華電信的IDC有每月固定做安全偵測外，也聘請外部顧問對我們的系統做檢測、掃描，同時內部自己也有一套安全查核規範。「其實，弱點最大的問題還是在人，」方國憲提出結論。因此資訊安全如何為商譽加分，除了依靠工具、技術之外，讓全部員工對資訊安全有更深入的認知，則是要靠平常管理辦法的訂定以及不斷的教育訓練。