在今天看見明天
熱門: etf推薦 退休金 00939 通膨 存股推薦
投資理財
保險稅制
產業時事
職場生活
今周大耳朵 Podcast
富足今周起
幸福熟齡
ESG永續台灣
專題報導
今選頻道
存股助理
今周學堂
訂購優惠
活動報名

從華航到iRent都被「駭」 資安危機事件一演再演…… 40天四起個資外洩 中小企業資安拉警報

從華航到iRent都被「駭」   資安危機事件一演再演……   40天四起個資外洩  中小企業資安拉警報
成立邁入第9年、已奪下台灣共享租車龍頭的iRent,日前意外爆出40萬消費者個資遭洩,公路總局依 《個資法》開罰20萬元。

張如嫻

政治社會

攝影/唐紹航

1365期

2023-02-15 13:06

個資外洩事件一個月就發生至少四起,公家機關或民間企業都難逃,讓人不禁想問,究竟是駭客變厲害?還是企業與政府輕視資安?

月底,和泰集團旗下共享汽車品牌iRent,被爆出四十萬名消費者的個資遭外洩,舉凡消費者的姓名、手機號碼、身分證、住家地址、駕照照片,通通被駭客揭露。iRent後續聲明表示,由於暫存資料庫沒有完整阻擋外部連線,導致被駭客使用特定工具及技巧進入。

 

然而,這已是今年僅過不到兩個月以來,第四起個資外洩。一月中,掌握台灣兩千三百萬人健康資料的健保署,爆發官員盜賣民眾個資;同一個禮拜,華航也被踢爆會員資料外流,包括副總統賴清德、名模林志玲的個資都外洩,二月上旬,格上租車也發生訂單資料流出。

 

為什麼不論是私人企業還是公家機關,個資外洩事件層出不窮呢?究竟是駭客的攻擊變多、變強、更愛攻擊台灣?還是企業本身疏於防範呢?

 

中小企業資安意識待提升

 

原因,恐怕是我們的企業,平時太過鬆懈。一名台灣資安專家向《今周刊》分析,近期至少兩起的個資外洩事件,起因是公司內部資訊人員未對資料庫有足夠的防護,後續個資外洩後,也沒有馬上啟動查核,可見資安意識還有待提升。

 

這名專家還向我們分享他親身經手的一個案例。某次,一家企業接到消費者個資外洩的投訴後,找來外部的資安公司協助,結果,資安人員到場並打開管理伺服器的電腦,卻發現裡頭的資料庫不僅沒有設密碼,甚至連權限也未設限制。

 

「我們還看過,一家公司用來存放客戶訂單的電腦,還被員工拿來打遊戲。」顧問公司KPMG企業管理公司董事總經理謝昀澤,也以他過去輔導的中小企業個案舉例。

 

「台灣很多企業資安意識還是偏低。」工研院產科國際所經理徐富桂,向我們點出台灣企業面對資安的第一個通病,他指出,許多企業不了解個資外洩帶來的損害,常常抱著「不會這麼衰、遇到再說」的心態,又以中小企業更為明顯。

 

「尤其中小企業員工沒幾個人,大家都以產品銷售、營運為主,沒人在意資安,更沒資源去做。」趨勢科技資深技術顧問簡勝財觀察。

 

第二個通病,則是不少企業依舊認為,自己沒有保護個資的責任。

 

資安服務商TeamT5創辦人蔡松廷透露,他曾與團隊發現某家企業的訂單機密,在暗網上流傳,他們馬上通知該公司,建議趕緊加強資安防護,沒想到,對方卻告訴他:「個資又不是我們的,要做資安也應該是客戶出錢,那是他們的資料耶!」

 

這件事情,關乎到第三個通病,即台灣企業對資安的投資不足。

 

蔡松廷分析,資安常被編列在企業的IT(資訊)總預算,但分配順位往往是敬陪末位,也就是一家公司添購完電腦、升級網路硬體後,才會把剩下的錢投入資安。

 

對人才的投入也類似,他說,近年金管會規定上市櫃公司必須設資安長,但許多公司都是由內部主管兼任,而非對外聘請專業人員。

 

KPMG以自家在台灣服務的客戶推算,台灣企業平均對資安的支出,約占整體IT預算的五%至十二%,只要低於五這個數字,就代表投資過低,但就他觀察,這樣的企業不在少數,並且大多以中小企業為主。

 

由於資安是用來保護資料,本身並不會創造營收與獲利,「因此資安投資沒有ROI(投資報酬率),所以很多企業不願投入,而許多台灣企業投資資安,是因為客戶要求、或是法規要求的。」謝昀澤指出。

 

尤其,對於資金和人力都有限的中小企業而言,自然不願投入這種「不知道哪天會發生」的投資,但現實往往是,一旦駭客發現一家企業擁有深具價值的資料,譬如消費者的個資,但企業的防護網卻很薄弱,最後很快就被攻破。

 

投資資安成本超過罰鍰

 

企業資安意識不足、不認為自己有保護個資的責任、不願花錢投入資安等三大通病,也跟一旦個資外洩,政府的罰鍰過「輕」有關。根據《個資法》,企業一旦洩漏個人資料,就算被罰,罰鍰至多到五十萬元。

 

然而,若以歐盟《一般資料保護規範》(GDPR)為例,該法規定,只要一家企業被發現消費者的個資外洩,假使沒有在事發當下即時通報、執行個資保護風險評估,就會被處罰全球營業額的四%、最高罰至兩千萬歐元(約新台幣六十四億元),是台灣一千倍以上。

 

蔡松廷指出,公司從建立資安管理政策、備份資料、買軟硬體設備、定期健檢、設定防火牆、到招募人才,每年花費動輒百萬,「像iRent這次只罰二十萬元,公司幹嘛要做資安?」他認為,要讓法規發揮效果,修改罰則是首要之務。

 

針對罰鍰,行政院副院長鄭文燦上周坦言,《個資法》已近十年未修,目前罰款確實過輕,未來將透過修法,提高罰鍰金額。

 

除了須提高罰則外,台灣也需要有一個資安的獨立機關,判斷一家企業的個資外洩,究竟是平時沒有投入資安、疏於防備,還是駭客的技術太厲害、防不勝防?

 

近3年國內重大個資外洩事件

 

缺乏單一專責機關管理

 

但台灣的情況是,有關企業或組織的個資保護監管,是由各自的事業主管機關負責,以iRent事件為例,就是由公路總局對其開罰,「但是像民航局、公路總局這些機構,他們的專業是交通安全,不是資安啊!」謝昀澤指出,目前歐盟國家多由單一的專責機關管理個資,台灣也應設法跟上國際潮流。

 

對此,鄭文燦在釋出個資法將提高罰鍰後,也指出憲法法庭日前已判決,明年八月前要針對個資保護有獨立監督機制,未來將會與《個資法》修法一併處理。

 

至於企業本身,究竟該如何提高資安?專家建議可從三方面著手。首先,謝昀澤指出,資安防護首重「人」,他建議必須「讓專業的來」,企業除了要聘請專業的資安人員外,且最好每十個IT人員,就至少要有一人具備資安背景。

 

其次,則是預算。由於聘人與採購資安的軟硬體都需要錢,因此資安占整體IT預算,不宜少於五%。

 

第三,如果企業不知從何入手,謝昀澤建議,可以導入國際的資安管理認證制度,譬如ISO 27001,「這個規範裡面,有一些行為面、管理面、技術面可以讓公司依循參考。」

 

而據本刊了解,iRent從前年陸續導入這項規範,去年則是通過針對個資管理的ISO 27001認證。

 

這些投入與修法,可能必須要再快馬加鞭。因為,就KPMG的觀察,駭客近年的攻擊目標,從疫情前的金融機構,到疫情期間的大型電子業,而現在,目標已轉向中小企業,如果想要免於數位劫難,及早防範,恐怕是眼前唯一的路。

延伸閱讀
和泰旗下iRent爆個資外洩,公司道歉了…14萬用戶擴大認定40萬,賠償方案「這天」出爐
和泰旗下iRent爆個資外洩,公司道歉了…14萬用戶擴大認定40萬,賠償方案「這天」出爐

2023-02-04

TikTok太危險!美FBI局長警告恐成國安隱憂…我數位部列「危害資安產品」,公部門禁用
TikTok太危險!美FBI局長警告恐成國安隱憂…我數位部列「危害資安產品」,公部門禁用

2022-12-06

健保資料供學術研究是否違憲  憲法法庭激辯  修法嚴懲個資外洩  促進公益也捍衛隱私
健保資料供學術研究是否違憲 憲法法庭激辯 修法嚴懲個資外洩 促進公益也捍衛隱私

2022-04-27

每5.2秒就1人租用!和泰MaaS先驅部隊iRent會員數破百萬關卡:下一步,成為智慧建築的新標配
每5.2秒就1人租用!和泰MaaS先驅部隊iRent會員數破百萬關卡:下一步,成為智慧建築的新標配

2022-03-10

王品美食APP淪「詐騙利器」!被詐金額高達369萬 民眾個資外洩怒控:王品根本不認錯導致受害者增加
王品美食APP淪「詐騙利器」!被詐金額高達369萬 民眾個資外洩怒控:王品根本不認錯導致受害者增加

2022-02-26