个资法专栏/健保局遭骇客冒用 个资外泄恐遭利用
刑事警察局破获一起骇客窃取中小企业个资案件。该名骇客以健保局名义寄发电子邮件,透过恶意程式窃取中小企业内部资料中的1万多笔个资,全案正深入调查是否有其他共犯。
今年4月底健保局发布新闻指出,有不法份子冒用健保局北区业务组名义,寄发恶意电子邮件,该邮件提供连结,使用者点选后经由转址网站到恶意网页,并自动下载「二代健保补充保险费扣缴办法说明」的RAR档,执行后即遭木马、后门程式入侵电脑,骇客从远端监控电脑画面,并窃取电脑上的个人资料。
刑事警察局表示,这起案件主要以中小企业主或会计人员为对象,诱骗收件人点选连结下载恶意程式,入侵电脑窃取资料,再以其他名义寄出恶意邮件。例如骇客曾以国内知名货运公司名义寄送邮件,共窃取1万多笔个人资料。 警方怀疑被盗取的个资可能被利用以网路银行或盗刷信用卡方式谋利,或是将个资转卖诈骗集团。后续将联络受害企业清查,并继续调查背后是否有犯罪集团。
优硕资讯科技资深经理解忠翰表示:「由上述事件可知,企业内部需要加强「社交工程的演练」来防止类似事件发生。 若企业有使用个资盘点、个资保护的产品,将档案中所有个人资料定期进行盘点,将高风险的资料归类出来,并且利用DLP/DRM加密保护,就算真的被窃取个资,就能在档案被窃取的第一时间保护档案本身,而这些被偷走的档案也需要花费一番时间解密。依照新版个资法第29条第1项来看「非公务机关违反本法规定,致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者,负损害赔偿责任。但能证明其无故意或过失者,不在此限」。企业只要遭到入侵,个资又被骇客「不法搜集」,除非企业能证明自己「无过失」,否则依法就赔定了。」