硬是要学/个资外泄 厂商难逃个资法

图、文/werboy (硬是要学)

新版个资法上路以后,在个资保护责任方面有了更明确的定义,搜集个资的一方有义务善尽保管之责,因此企业更应该小心谨慎的处理与个人相关的资料。日前城邦出版集团旗下的「POPO 原创市集」就发生了一件由于系统漏洞,而极可能导致个资外流事件,我们就用这个案例来说明企业、骇客和一般消费者(使用者) 在这整个事件中所必须担负的责任。

POPO 原创市集 遭骇事件发生纪录

以下依照时间先后顺序简单列出整个事件发生的顺序:1. 某工程师发现「POPO 原创市集」网页系统有安全漏洞,主动发信通知城邦,但城邦没有任何回应。2. 工程师以 XSS (Cross Site Scriptiing) 攻击该站,导致所有留言网友暱称都变成「囧」,逼迫官方正视问题。3. 工程师主动向城邦自首,并且愿意提供解决方式。4. 城邦集团执意提告该名工程师。5. 地检署判定因为该工程师动机出于善意,无意造成严重损害,将工程师缓起。

骇客入侵导致个资外泄,城邦可卸责?

在工程师向城邦自首后,城邦集团法务坚持以刑法第358条【电脑入侵罪】和第359条【变更电磁纪录罪】向检警提出告诉。虽然该名工程师入侵城邦系统并窜改部分资料确实已经触法,但是城邦集团难道就可以从这个事件完美逃脱吗?我们先来试想几件事,假设入侵者是个骇客,入侵系统后:1.下载 (DUMP) 整个系统资料库,并且取得所有「POPO 原创市集」会员个人资料交易纪录。2. 窜改系统程式,导致消费者交易资讯 (如信用卡号、CVC 码)泄漏,信用卡遭盗刷。先看第一点,如果资料库内的个资遭到窃取,根据新版个资法的规定:非公务机关违反本法规定,致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者,负损害赔偿责任。但能证明其无故意或过失者,不在此限。如果是发生第二点,那么整体的影响面将会更加庞大,城邦集团也势必会被要求担负起信用卡被盗刷的责任。以这个事件看来,工程师在事前已经告知城邦系统漏洞,但城邦并没有理会修正这个问题,依照个资法的规定,除非城邦集团仍有办法证明自己并「无过失」,否则每个受害者(会员)可以依法向城邦集团提出新台币 500 ~ 20,000 元的赔偿。但庆幸的是入侵系统的工程师并没有这个意图,否则城邦集团很可能成为个资法施行以来第一家因个资法而倒闭的公司

白帽骇客与黑帽骇客的关系

资讯安全是一个非常特别的产业资安公司要提供防御措施,就必须了解攻击如何发动。换句话说,提供解决方案的公司,另一面可能就在试着破解某家公司的防御系统。在这个产业,白帽骇客与黑帽骇客只有一线之隔,转个念头,白帽骇客也可以毁了你的系统。

而在这次的事件中,虽然入侵系统的行为并不可取,但如果该名工程师狠下心来,透过特殊网路技术隐藏其真实位置入侵并窃取所有资料,或者把漏洞公开到骇客组织,后果将不堪设想!除了会员个资完全泄漏外,城邦甚至可能面临”找不到漏洞”而被持续入侵的可能,让整个网站甚至公司营运受到严重影响。

不过城邦的法务人员似乎不晓得这个不能说的秘密,虽然以法律上来说城邦站得住脚,但是若以实务上来说,城邦拿着会员资料与骇客对赌,消费者也间接变成了无辜牺牲者

系统难免有洞,落实防护才是上策

优硕资讯科技资深产品经理解忠翰表示:「要求一个系统做到完全没有漏洞是不切实际的,就算开发人员费尽心思防堵各种可能的入侵方式,有心人士还是有可能从其他地方入侵,许多时候,漏洞发生在开发人员无法控制的产品。因此除了在系统开发时需要注意安全性议题以外,也应该落实规划防护的 PDCA 机制(计划、保护、稽核、持续改善),进一步提高个资外泄的防护能力。

此外,针对资料外泄防漏的部分,目前市面上已经有许多 DLP (Data Lost Prevention) 以及 DRM (Digital Right Management) 机制,确保资料在外流的第一时间就能被侦测并拦截,也确保文件档案不会在未被授权的环境下被打开而造成讯息外泄。」

资料来源:硬是要学、优硕资讯科技