公務機密 資訊安全維護 3月號 資安時事案例 個人資料保護法 輕鬆學資安 資安動畫金像獎 資安小叮嚀 掃了再上 e路順暢

Presentation on theme: "公務機密 資訊安全維護 3月號 資安時事案例 個人資料保護法 輕鬆學資安 資安動畫金像獎 資安小叮嚀 掃了再上 e路順暢"— Presentation transcript:

1 公務機密 資訊安全維護 3月號 資安時事案例 個人資料保護法 輕鬆學資安 資安動畫金像獎 資安小叮嚀 掃了再上 e路順暢
駭客無孔不入 竊情報利益豐 第一章 總則 第２條　 蘋果臉書等40西方企業　遭東歐駭客入侵 律師：Nokia百萬個資外洩案已可提告求償， 恐成個資團訟首例 輕鬆學資安 資安動畫金像獎 cookies網路紀錄 資安小叮嚀

2 駭客無孔不入 竊情報利益豐 （中央社北京21日綜合外電報導）電腦駭客犯罪行動無孔不入，尤其是如中國大陸網軍執行由國家支持的網攻行動，侵入外國企業網站可取得許多高價值機密，領域涵蓋油田的詳細資料到先進的製造技術等。 網路安全專家表示，不同於一般網路犯罪集團竊取信用卡號及消費者資料，背後擁有資源的網路間諜，他們為各國政府工作，表面是加強保護網路安全，但實際是向外偷取更有價值的軍事或商業情報。 雇駭客竊取網路情報原因很多，包括石化到軟體領域的各企業，可藉偷取機密而降低成本。能源公司要取得海外油田開採權，若間諜告知其他國家對手可能競標的價格，也可省下大筆經費。此外，供應商若知道客戶財務細節，就可迫使他們付出更多錢。 至於中國大陸，攫取西方先進科技等資訊，有助加速大型國有企業崛起。 白宮20日公布的報告中，未特別點名發動網攻的主要罪魁禍首國家，但列出中國企業及個人竊取商業機密案件達十多起，遠比其他國家都多。 遭中國竊取資料的美國企業包括通用汽車、福特汽車、杜邦（DuPont）、陶氏化學公司（Dow Chemical）及卡吉爾公司（Cargill）等。 日本民間智庫「國際公共政策研究中心」（Centerfor International Public Policy Studies）網路安全專家增岡（Masuoka）說：「就像一場持續不斷的戰爭，將會持續擴大，不斷深入。」 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　文章摘錄中央社

3 蘋果臉書等40西方企業　遭東歐駭客入侵 包括蘋果公司、臉書與吉普汽車 (Jeep)，至少40家西方公司的網站或網路帳號近日都遭到東歐駭客攻擊，目的恐怕為竊取公司機密牟利。 速食業者漢堡王18日遭駭客入侵，貼文宣稱漢堡王已賣給另一家業者麥當勞，連網頁商標都換成麥當勞的黃金拱門；車商克萊斯勒旗下品牌吉普 (Jeep)汽車的推特帳號19日也遭駭客入侵，不但更改帳號首頁，還宣布「吉普汽車已被凱迪拉克收購」、發出吉普車停產等許多惡意推文。 蘋果（Apple）電腦公司是這一系列駭客攻擊事件的最新受害者，該公司19日宣稱被駭，表示內部部分員工的Mac電腦被惡意軟體感染。 為了讓Mac電腦用戶能夠查出和修復惡意感染程式，蘋果為旗下OS X系統發布了新版本為更新「Java for OS X 」，透過Java SE 6升級至1.6.0_41，希望能夠提高系統的安全性、可靠性和兼容性。 負責調查的聯邦調查局(FBI)人員表示，已排除中國大陸駭客所為，懷疑駭客是來自東歐或俄羅斯的犯罪集團，並已透過追蹤這個集團使用的伺服器，循線連到烏克蘭一家公司，目的恐怕為竊取公司機密牟利。

4 律師：Nokia百萬個資外洩案已可提告求償，恐成個資團訟首例
臺灣Nokia遭駭，恐外洩了150萬筆顧客個資，駭客也在2月初上網公開了其中的17萬筆個資。達文西個資暨高科技法律事務所主持律師葉奇鑫表示，這是個資法上路後最大宗的個資外洩事件，個資遭外洩的民眾已可向Nokia提告求償 臺灣Nokia行銷活動網站遭駭，Nokia承認可能遭竊了近150萬筆個資記錄。駭客也在今年2月5日時上網公布了其中的17萬筆記錄，包括姓名、電話和電子郵件等個資。臺灣Nokia於2月23日也在官網公告坦言受駭，並表示已通知可能遭外洩帳號密碼的7,000位民眾。 達文西個資暨高科技法律事務所主持律師葉奇鑫表示，這次事件是個人資料保護法上路後，最大宗的個資外洩事故，因這類事件難以評估財產損失，只要資料外洩屬實，就達到可以訴訟的條件。這次事件的個資當事人已經可以向臺灣Nokia提告求償，甚至這可能成為首宗個資法團體訴訟的案件。 依據個資法28條規定，單一事件中每人可求償金額從500～20,000元不等，以Nokia這次外洩150萬筆個資來估算，若每筆資料的受害民眾沒有重複，求償金額將達到法定單一事件最高總額2億元的上限。 雖然Nokia將遭駭行銷網站委託給網路行銷公司Agenda負責建置和維運，但依個資法規定，受委託機構視同委託機構，發生個資外洩時，仍是由Nokia負責，民眾仍是向Nokia求償。而Nokia則可另外向Agenda求償。

5 不能只在網站發表聲明，企業需主動通知受害當事人 臺灣Nokia官網聲明稿表示，此次遭竊的顧客個人資料多為1年以前的舊資料，但是包括了姓名、電話、電子郵件，以及相關活動所需資料，其中約有7千筆外洩個資含有密碼，為避免釀成更大災害，Nokia已用簡訊或電子郵件先通知這些個資的當事人。但葉奇鑫表示，不只這7千人，臺灣Nokia依法也需通知其餘恐遭外洩的當事人，不能只在網站上發表聲明稿。 根據個資法施行細則第22條規定，Nokia必須採取當事人能夠知道的方式來通知民眾，雖然細則也規定，若通知成本過高時可斟酌技術可行性和保護當事人隱私的原因，以網際網路、新聞媒體或其他適當公開方式為之。但是，葉奇鑫認為，除了已接到個別通知的7千人以外，其於受駭民眾無法得知，自己的個資是否屬於這次外洩事件的影響範圍內，也因次就不會主動到Nokia官網瀏覽聲明，所以，他認為，Nokia後續還須主動通知其他受駭民眾，才能符合法律要求的告知義務。 另外，駭客論壇上揭露了這次入侵Nokia是透過SQL Injection（資料隱碼）攻擊手法，曾任職資安軟體公司總經理的葉奇鑫表示，這類攻擊多因工程師所設計的程式碼安全性不足，才會產生漏洞。 這也意味著，臺灣Nokia並沒有善盡個資保管的責任，沒有採取適當的安全維護措施來確保網站安全，另外，臺灣Nokia也並未適當監督委外公司Agenda，才會發生如此嚴重的事件。因此，臺灣Nokia的中央事業目的主管機關或是臺北市政府，也應盡快派員進行行政檢查，查核臺灣Nokia個資保護制度落實的程度。 不過，負責管理這些遭駭行銷網站的Agenda公司，至截稿前仍以負責人不在為由，拒絕說明為其他企業客戶維運的網站是否也有類似遭駭風險。文⊙張景皓

6 個人資料保護法 個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。

7 cookies網路紀錄 cookies是存在瀏覽器中的小型文字檔，記錄使用者瀏覽網頁的資訊，例如：瀏覽的網站位址、使用者曾經輸入的資訊等，當使用者下次再度使用瀏覽器時，電腦能自動顯示最近使用過的網頁。cookies 也會紀錄使用者的帳號與密碼，因此在使用者再次進入相同頁面時，不需要重新輸入名稱與密碼。由於cookies 的功能會記錄重要的個人資料與網路使用習慣，通常網站都會在其隱私權政策中詳述其透過cookies蒐集使用者資訊的用途。

8 資安小叮嚀 如果家裡的無線網路未設定加密、無線基地台預設管理密碼未修改或未關閉 SSID 廣播．．．等，皆可能遭人盜用。