1. 風險類別--環境風險--網路層
1.5 從法律影響的風險變化
《新聞分享》：遭德國質疑 支付寶強調保護用戶穩私
(新聞來源：中央社 2020-07-17 https://tw.stock.yahoo.com/news/%E9%81%AD%E5%BE%B7%E5%9C%8B%E8%B3%AA%E7%96%91-%E6%94%AF%E4%BB%98%E5%AF%B6%E5%BC%B7%E8%AA%BF%E4%BF%9D%E8%AD%B7%E7%94%A8%E6%88%B6%E7%A9%A9%E7%A7%81-135547778.html )

《筆者分析及建議》：

分享上述的新聞，主要說明如同歐盟所要求的GDPR這類法令，影響到企業對於風險評估應該如何避免不必要的錯誤產生。

這些法令大部分是屬於人為的法令，諸如營業秘密法、個人資料保護法等等，這些規範，當企業在進行商業模式之時就應該要先注意，如果在前端執行業務的人員，忽略掉這部分，等到後端要被罰款之時，自然就有罰不完款了。

以下筆者分享一篇今年度金管會銀行局的「非重大裁罰案」的一篇公告：

該篇公告，是銀行局的糾正事項，跟外面企業相較之下，目前金融單位的金檢要求是比較嚴格的，大家可以注意到違反事由裡面，開頭就寫依個人資料風險評估結果，有了這項風險依據，到後端建置及管理客戶資料，就必須要考量到這個要求。因此在網路層執行物聯網時，無可避免的對於個資要求的法令就相對要嚴謹，以避免不必要的問題產生。

筆者在此另提供 「經濟部個人資料保護作業手冊」 連結，給予各位參考，協助讀者加深了解此項風險的重要性：https://www.moea.gov.tw/MNS/colr/content/SubMenu.aspx?menu_id=7783

1.6 社交工程攻擊
《新聞分享》：一場Twitter比特幣詐欺騙局，為什麼影響重大？
(新聞來源：台灣事實查核中心2020-07-29 https://tfc-taiwan.org.tw/articles/4235 )

《筆者分析及建議》：

依上述新聞分享內容，所謂 「社交工程攻擊」 是指透過欺騙手段，讓受害人交出帳戶登入資訊。攻擊者通常會告訴受害人其帳戶有可疑活動，或是製造其他令人分心或是煩躁的情境，迫使受害人做出平常不會做的舉動。

這種手法其實就跟詐騙電話一樣，其實只是攻擊人性的弱點，只是換到網路上而已，這種詐騙手法，就像電話詐騙一樣，一直會有人重複被騙，而且戰場轉移到網路之後，其實更方便，傳播也更迅速，只要一個聳動的連結，透過網路層推播，加上某些網民的口耳相傳，很快就會蔓延開來，而且殺傷力強大。

在此社交工程的攻擊之下，企業最重要的就是 「事實查證」 ，企業除了透過上述新聞連結的事實查證中心查證之外，如果是B2B，可以透過聯徵中心、信評公司等，進行查證。筆者認為，企業平時應當針對客戶做好徵信，根據過往經驗，通常企業在建立客戶信用資料時，很少會仔細檢查資料上的客戶連結，千萬不要小看這個客戶連結的問題，有時太多利用相似的網址，透過信件的方式釣魚，結果連上駭客所設的網頁，等到假交易完成，企業才發現受騙，此時，已經造成難以挽回的損失，因此，企業在建立客戶徵信資料時，最好在軟體內部設定再確認功能，以確保該風險降到最低。

關於上述新聞，筆者在此另提供一篇新聞做為參考：
員工被騙內部權限！Twitter 名人盜帳號事件為「社交工程」攻擊
新聞來源：INSIDE 2020-07-20 https://www.inside.com.tw/article/20415-An-update-on-twitter-security-incident )