Download presentation
Presentation is loading. Please wait.
1
公務機密 資訊安全維護 3月號 資安時事案例 個人資料保護法 輕鬆學資安 資安動畫金像獎 資安小叮嚀 掃了再上 e路順暢
駭客無孔不入 竊情報利益豐 第一章 總則 第2條 蘋果臉書等40西方企業 遭東歐駭客入侵 律師:Nokia百萬個資外洩案已可提告求償, 恐成個資團訟首例 輕鬆學資安 資安動畫金像獎 cookies網路紀錄 資安小叮嚀
2
駭客無孔不入 竊情報利益豐 (中央社北京21日綜合外電報導)電腦駭客犯罪行動無孔不入,尤其是如中國大陸網軍執行由國家支持的網攻行動,侵入外國企業網站可取得許多高價值機密,領域涵蓋油田的詳細資料到先進的製造技術等。 網路安全專家表示,不同於一般網路犯罪集團竊取信用卡號及消費者資料,背後擁有資源的網路間諜,他們為各國政府工作,表面是加強保護網路安全,但實際是向外偷取更有價值的軍事或商業情報。 雇駭客竊取網路情報原因很多,包括石化到軟體領域的各企業,可藉偷取機密而降低成本。能源公司要取得海外油田開採權,若間諜告知其他國家對手可能競標的價格,也可省下大筆經費。此外,供應商若知道客戶財務細節,就可迫使他們付出更多錢。 至於中國大陸,攫取西方先進科技等資訊,有助加速大型國有企業崛起。 白宮20日公布的報告中,未特別點名發動網攻的主要罪魁禍首國家,但列出中國企業及個人竊取商業機密案件達十多起,遠比其他國家都多。 遭中國竊取資料的美國企業包括通用汽車、福特汽車、杜邦(DuPont)、陶氏化學公司(Dow Chemical)及卡吉爾公司(Cargill)等。 日本民間智庫「國際公共政策研究中心」(Centerfor International Public Policy Studies)網路安全專家增岡(Masuoka)說:「就像一場持續不斷的戰爭,將會持續擴大,不斷深入。」 文章摘錄中央社
3
蘋果臉書等40西方企業 遭東歐駭客入侵 包括蘋果公司、臉書與吉普汽車 (Jeep),至少40家西方公司的網站或網路帳號近日都遭到東歐駭客攻擊,目的恐怕為竊取公司機密牟利。 速食業者漢堡王18日遭駭客入侵,貼文宣稱漢堡王已賣給另一家業者麥當勞,連網頁商標都換成麥當勞的黃金拱門;車商克萊斯勒旗下品牌吉普 (Jeep)汽車的推特帳號19日也遭駭客入侵,不但更改帳號首頁,還宣布「吉普汽車已被凱迪拉克收購」、發出吉普車停產等許多惡意推文。 蘋果(Apple)電腦公司是這一系列駭客攻擊事件的最新受害者,該公司19日宣稱被駭,表示內部部分員工的Mac電腦被惡意軟體感染。 為了讓Mac電腦用戶能夠查出和修復惡意感染程式,蘋果為旗下OS X系統發布了新版本為更新「Java for OS X 」,透過Java SE 6升級至1.6.0_41,希望能夠提高系統的安全性、可靠性和兼容性。 負責調查的聯邦調查局(FBI)人員表示,已排除中國大陸駭客所為,懷疑駭客是來自東歐或俄羅斯的犯罪集團,並已透過追蹤這個集團使用的伺服器,循線連到烏克蘭一家公司,目的恐怕為竊取公司機密牟利。
4
律師:Nokia百萬個資外洩案已可提告求償,恐成個資團訟首例
臺灣Nokia遭駭,恐外洩了150萬筆顧客個資,駭客也在2月初上網公開了其中的17萬筆個資。達文西個資暨高科技法律事務所主持律師葉奇鑫表示,這是個資法上路後最大宗的個資外洩事件,個資遭外洩的民眾已可向Nokia提告求償 臺灣Nokia行銷活動網站遭駭,Nokia承認可能遭竊了近150萬筆個資記錄。駭客也在今年2月5日時上網公布了其中的17萬筆記錄,包括姓名、電話和電子郵件等個資。臺灣Nokia於2月23日也在官網公告坦言受駭,並表示已通知可能遭外洩帳號密碼的7,000位民眾。 達文西個資暨高科技法律事務所主持律師葉奇鑫表示,這次事件是個人資料保護法上路後,最大宗的個資外洩事故,因這類事件難以評估財產損失,只要資料外洩屬實,就達到可以訴訟的條件。這次事件的個資當事人已經可以向臺灣Nokia提告求償,甚至這可能成為首宗個資法團體訴訟的案件。 依據個資法28條規定,單一事件中每人可求償金額從500~20,000元不等,以Nokia這次外洩150萬筆個資來估算,若每筆資料的受害民眾沒有重複,求償金額將達到法定單一事件最高總額2億元的上限。 雖然Nokia將遭駭行銷網站委託給網路行銷公司Agenda負責建置和維運,但依個資法規定,受委託機構視同委託機構,發生個資外洩時,仍是由Nokia負責,民眾仍是向Nokia求償。而Nokia則可另外向Agenda求償。
5
不能只在網站發表聲明,企業需主動通知受害當事人 臺灣Nokia官網聲明稿表示,此次遭竊的顧客個人資料多為1年以前的舊資料,但是包括了姓名、電話、電子郵件,以及相關活動所需資料,其中約有7千筆外洩個資含有密碼,為避免釀成更大災害,Nokia已用簡訊或電子郵件先通知這些個資的當事人。但葉奇鑫表示,不只這7千人,臺灣Nokia依法也需通知其餘恐遭外洩的當事人,不能只在網站上發表聲明稿。 根據個資法施行細則第22條規定,Nokia必須採取當事人能夠知道的方式來通知民眾,雖然細則也規定,若通知成本過高時可斟酌技術可行性和保護當事人隱私的原因,以網際網路、新聞媒體或其他適當公開方式為之。但是,葉奇鑫認為,除了已接到個別通知的7千人以外,其於受駭民眾無法得知,自己的個資是否屬於這次外洩事件的影響範圍內,也因次就不會主動到Nokia官網瀏覽聲明,所以,他認為,Nokia後續還須主動通知其他受駭民眾,才能符合法律要求的告知義務。 另外,駭客論壇上揭露了這次入侵Nokia是透過SQL Injection(資料隱碼)攻擊手法,曾任職資安軟體公司總經理的葉奇鑫表示,這類攻擊多因工程師所設計的程式碼安全性不足,才會產生漏洞。 這也意味著,臺灣Nokia並沒有善盡個資保管的責任,沒有採取適當的安全維護措施來確保網站安全,另外,臺灣Nokia也並未適當監督委外公司Agenda,才會發生如此嚴重的事件。因此,臺灣Nokia的中央事業目的主管機關或是臺北市政府,也應盡快派員進行行政檢查,查核臺灣Nokia個資保護制度落實的程度。 不過,負責管理這些遭駭行銷網站的Agenda公司,至截稿前仍以負責人不在為由,拒絕說明為其他企業客戶維運的網站是否也有類似遭駭風險。文⊙張景皓
6
個人資料保護法 個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
7
cookies網路紀錄 cookies是存在瀏覽器中的小型文字檔,記錄使用者瀏覽網頁的資訊,例如:瀏覽的網站位址、使用者曾經輸入的資訊等,當使用者下次再度使用瀏覽器時,電腦能自動顯示最近使用過的網頁。cookies 也會紀錄使用者的帳號與密碼,因此在使用者再次進入相同頁面時,不需要重新輸入名稱與密碼。由於cookies 的功能會記錄重要的個人資料與網路使用習慣,通常網站都會在其隱私權政策中詳述其透過cookies蒐集使用者資訊的用途。
8
資安小叮嚀 如果家裡的無線網路未設定加密、無線基地台預設管理密碼未修改或未關閉 SSID 廣播...等,皆可能遭人盜用。
Similar presentations