個資外洩事件一個月就發生至少四起,公家機關或民間企業都難逃,讓人不禁想問,究竟是駭客變厲害?還是企業與政府輕視資安?
月底,和泰集團旗下共享汽車品牌iRent,被爆出四十萬名消費者的個資遭外洩,舉凡消費者的姓名、手機號碼、身分證、住家地址、駕照照片,通通被駭客揭露。iRent後續聲明表示,由於暫存資料庫沒有完整阻擋外部連線,導致被駭客使用特定工具及技巧進入。
然而,這已是今年僅過不到兩個月以來,第四起個資外洩。一月中,掌握台灣兩千三百萬人健康資料的健保署,爆發官員盜賣民眾個資;同一個禮拜,華航也被踢爆會員資料外流,包括副總統賴清德、名模林志玲的個資都外洩,二月上旬,格上租車也發生訂單資料流出。
為什麼不論是私人企業還是公家機關,個資外洩事件層出不窮呢?究竟是駭客的攻擊變多、變強、更愛攻擊台灣?還是企業本身疏於防範呢?
中小企業資安意識待提升
原因,恐怕是我們的企業,平時太過鬆懈。一名台灣資安專家向《今周刊》分析,近期至少兩起的個資外洩事件,起因是公司內部資訊人員未對資料庫有足夠的防護,後續個資外洩後,也沒有馬上啟動查核,可見資安意識還有待提升。
這名專家還向我們分享他親身經手的一個案例。某次,一家企業接到消費者個資外洩的投訴後,找來外部的資安公司協助,結果,資安人員到場並打開管理伺服器的電腦,卻發現裡頭的資料庫不僅沒有設密碼,甚至連權限也未設限制。
「我們還看過,一家公司用來存放客戶訂單的電腦,還被員工拿來打遊戲。」顧問公司KPMG企業管理公司董事總經理謝昀澤,也以他過去輔導的中小企業個案舉例。
「台灣很多企業資安意識還是偏低。」工研院產科國際所經理徐富桂,向我們點出台灣企業面對資安的第一個通病,他指出,許多企業不了解個資外洩帶來的損害,常常抱著「不會這麼衰、遇到再說」的心態,又以中小企業更為明顯。
「尤其中小企業員工沒幾個人,大家都以產品銷售、營運為主,沒人在意資安,更沒資源去做。」趨勢科技資深技術顧問簡勝財觀察。