P64
資訊安全及顧客資料保護
和泰汽車自1987年啟動小型商用車與轎車生產及銷售等相關業務,至今已累積350多萬顧客資料,為了保障客戶資料的安全及有效降低網路安全風險,我們持續精進及強化資訊安全系統。和泰汽車於2007年成立「資訊安全委員會」,作為集團資訊安全之最高指導單位,以貫徹資訊安全治理政策,明確宣示及落實維護資訊安全,並要求全體員工確實遵守,維護集團資訊安全。「資訊安全委員會」
透過定期每一年舉辦一次會議,由集團主任委員(即和泰汽車總經理)及資安委員負責審視本集團資安治理政策,督導資安管理體系運作情形。2022年設定「資訊安全事務局」為資安專責單位及設立資安長,透過每月一次定例會議,依據內外部環境需求及法令規定,評估資安政策之適用範圍、完整性,適時進行政策調整,以檢核全集團資安政策執行進度及結果,確認皆有符合本集團資訊安全之要求,當有重大資安事件與個資侵害事件發生時,處理並呈報主任委員,以建構高標準資安防護能力。
圖 14 1 和泰汽車資訊安全委員會組織圖
資訊安全管理制度
為建立及維護集團安全及可信賴之資訊環境,確保資料、系統、設備及網路之穩定與安全,以達企業之永續經營,和泰汽車於2008年協同旗下8家經銷商,推動國際資訊安全管理標準ISO 27001認證,成為臺灣汽車業界首家上、下游廠商均通過ISO 27001認證的汽車經銷體系總代理及經銷商。為確保資安管理的有效性,持續以「計劃-實施-查核-行動」(PDCA, Plan-Do-Check-Act)循環不斷精進資安風險管理,事務局透過召開定期會議,針對新科技之導入或新資訊與通訊系統專案,評估可能之資訊安全衝擊,並藉由每年資訊安全風險評鑑作業,依據法令要求、近期內外部威脅情資等項目,評估對內部可能產生的資安風險並加以對策改善,以確保資安控管其有效性及適當性。從各項可能的威脅與弱點組合中,分析出可能面臨的風險並加以改善,持續管控將資安風險降到最低,以確保資訊的機密性(Confidentiality)、完整性(Integrity)、可用性(Availability);同時檢討、處理並報告資訊安全及個資侵害事件與相關威脅,透過以上機制達到資訊服務風險評估及個人資料保護要求,做好全面的資安防護準備。
規畫階段 著重資安風險管理及強化,建立完整的資訊安全管理系統(Information Security Management System,ISMS),推動和泰汽車持續通過國際資安管理系統認證(ISO/IEC27001),並透過年
度查核作業,不斷持續改善資安管理制度。從管理面、流程面、系統面、技術面降低企業資安威脅,確保客戶資料受到妥善的防護。
執行階段 建構多層資安防護機制,持續運用人工智慧及自動化機制,導入多項管控機制及防護措施,來抵禦內外部資安威脅,並結合全球威脅情資,以系統化方式監控資訊安全,提升各類資安事件之偵測及處理效率。厚實資訊安全及網路安全防護量能,快速回應複雜多變威脅,以維護公司重要資產的防護。
查核階段 定期監控資安管理指標成效,及上述管理系統每年第三方複審稽核,另委由專業的資安廠商進行系統安全性測試,以確保持續提升資安管理及防禦能力。
行動階段 定期檢討與持續改善資訊安全防護措施,並進行全員資安教育訓練以提升資安意識。
P66
投入資通安全管理之資源
資訊安全已為公司營運重要議題‧對應資安管理事項及投入之資源方案
專責人力 設定「資訊安全委員會事務局」為資安專責單位並設立資安長,負責綜理、管控資訊安全政策推動及資源調度,且監督成效及落實狀況,以維護及持續 強化資訊安全。
國際認證 通過 ISO27001 資訊安全認證, 相關資安稽核無重大缺失。
資安宣導 防護系統並非萬能,鑒於駭客攻擊手法不斷更新,仍須仰賴每位同仁有正確的資安觀念才能確保資安,因此在資安意識的提升上,和泰汽車透過多元化形式的教育訓練及溝通宣導,持續深化每位同仁的資安意識。
為確保新進員工於入社後可立即接受資安教育,並對照工作情境建立正確的資安觀念。公司每一位新進員工於報到當天,就會收到需接受資安教育的郵件,內容以影片及動畫方式呈現工作情境、社交工程及常見駭客攻擊手法,並以測驗機制驗證新進員工的學習成果,減少因不清楚資安規定誤引發資安事件或外洩機敏資料。
針對全體同仁每年除接受資安教育外,同時會定期收到資安電子報,藉由資安時事新聞與新知分享,宣導並傳達和泰汽車最新的資安規定及注意事項,讓員工深知資安風險及防護的重要性。
對象課程內容
對象 課程內容 受訓人數(單位:人) 受訓時數(單位:小時) 涵蓋率
一般同仁 個資及資訊安全教育訓練及測驗 493 2 100%
新進同仁 新進員工個資及資訊安全教育訓練 16 1 100%
資訊同仁 資訊技能教育訓練 50 依同仁專業需要接受不同之課程時數 100%
P67
顧客資料保護
保護顧客隱私權
為使客戶資料獲得完善的保護,和泰汽車建置全集團個人資料管理制度,從企業策略面著手定位組織管理與運作,透過業務流程與資訊系統的分析,檢視個人資料取得、處理、傳遞、儲存、封存與銷毀等過程的生命循環及存取控管情況,規劃最完善的個資保護解決方案。2022年並無違反個資法之案例,且無遺失客戶資料或洩漏客戶資料等投訴。
年度 資訊洩漏件數(件) 個資佔資訊洩漏
件數的百分比(%) 因資訊洩露致受影響的客戶數量(筆)
2022 0 0% 0
符合法令規範
為保障顧客線上隱私,遵循台灣「個人資料保護法」在個人資料之蒐集、處理或利用之規範,和泰汽車頒發「個人資料檔案蒐集、處理與利用管理辦法」供相關單位遵循。此外,遵循法令要求,在官方網站上揭露客戶資料之隱私權聲明,除承諾本集團將保護客戶隱私外,並清楚說明客戶資料之蒐集、使用與資料安全規範等,以保障顧客隱私權。
落實控管與教育
為完善保護顧客個資,和泰汽車個資事務局每年定期辦理個資教育訓練及個資侵害演練。教育訓練以教材搭配測驗確保同仁個資意識(時數約2小時),受訓對象為全體同仁。
個資教育訓練 2019年 2020年 2021年 2022年
人數(人) 497 473 489 493
涵蓋率(%) 100 100 100 100
委外廠商個資管理
在委外廠商方面,自2015年起建立委外廠商個資防護規範,要求廠商遵循,且自2016年開始,每年一次定期審閱委外廠商交付之個資自評報告並執行實地稽核,於2018年建立委外廠商再發缺失控管機制,設有「委外廠商個資安全管理作業規範」並分級廠商個資防護能力,供權責單位作為遴選廠商參考。
P120
GRI永續性報導準則(GRI準則)對照表
主題 指標編碼 指標 章節 頁碼
客戶隱私 GRI 418 經證實侵犯客戶隱私或遺失客戶資料的投訴 4.5 資訊安全及顧客資料保 63
P121
SASB對照表
主題 指標編碼 指標 章節 頁碼
資訊安全 CGMR
230a.1 描述鑑別與管理資安風險的方法 4.5.1 資訊安全管理制度 63
資訊安全 CGMR
230a.2 1. 資訊洩漏數量
2. 資訊洩漏事件中涉及個資的百分比
3. 受資訊洩漏事件影響的客戶數量 4.5.1 資訊安全管理制度 63
從資安新創看和泰汽車資安
永續報告書的編製、需要揭露的項目,主要有二個標準,GRI(Global Reporting Initiative,全球報告倡議組織)和SASB。GRI側重於人權、能源與環境管理,像是能源密集度、降低能源消消耗、使用無衝突產區礦產做為生產原料等。GRI準則2021包含了「GRI 1 基礎」「GRI 2一般揭露」和「GRI 3 重大性議題」 而與資安有關的主要是客戶隱私 GRI 418,需揭露「經證實侵犯客戶隱私或遺失客戶資料的投訴」較為偏重個資法的法令遵循。
https://www.globalreporting.org/
而SASB則要求要揭露資安和個資相關資訊。通常企業在編永續報告書時,可以選擇使用那個標準來編製。筆者也看過採GRI標準整份報告書都沒提資安的。而SASB會揭露「描述鑑別與管理資安風險的方法」、「資訊洩漏數量、百分比、影響客戶數」
https://sasb.org/
所以做為資安新創,我們是建議企業在編製永續報告書時可同時採用GRI和SASB,並且儘可能的逐年將具有攸關性和重要性的資訊,對利害關係人詳加揭露。
紅隊(攻擊方)
今天要介紹Mitre Att&CK的第七階段
Defense Evasion(防禦規避)
防禦規避主要是讓包括攻擊者在整個攻擊過程中用來避免檢測的技術。用於規避防禦的技術包括卸載/禁用安全軟件或混淆/加密數據和腳本。另外可以利用和濫用受信任的進程來隱藏和偽裝他們的惡意軟件。並且可以建立沙箱和程式偵錯器規避,以避免自己的運作模式被分析。
通常我們看資安事件時,也要保持零信任的態度,即使廠商宣稱已經完成資料庫安全防護(如和泰汽車個案),再認真看還是可能會挖出新的漏洞。而對紅隊來說,先再測試企業過往資安事件所爆出來的漏洞,看看是否已確實修補好,會是一個不錯的起點。例如下載iRent APP,利用鑑識軟體做分析。目前市面上有許多手機鑑識工具如Cellebrite UFED、MOBILedit Foren sic、XRY、Forensic Toolkit、Oxygen Forensic Suite 和Paraben's device seizure 等。 然後再把拿到的檔案做反組譯,例如使用IDA或Ghidra,找到程式安全檢查的函數,一方面檢查是否已修補漏洞,一方面可以看看能不能開採新的漏洞。
和泰汽車旗下iRent傳出個資外洩風險,引發各界關注。金管會在3日於新聞稿中強調,和泰車於2月1日發布重訊澄清媒體報導,經證交所評估,符合重訊資訊揭露相關規定,金管會並非評論資安事件本身。金管會也指出,針對此次資安事件和泰是否落實執行內部控制制度,證交所已啟動查核。
針對1/31新聞媒體提及iRent資料庫部分資料存在外洩風險,和雲資訊部門早已於第一時間處理,並加強資料庫安全防護。
公司也對相關系統進行了全方位的審查,並釐清了實際可能受影響的範圍。和雲定期都有針對主機系統做弱點及滲透掃描,iRent App也定期有進行源碼掃描,交易過程全程採用SSL安全加密。
和雲行動服務也詳述事情發生原因,為「內部用來記錄應用程式Log檔之暫存資料庫,因未適當阻擋外部連線,導致該資料庫可能遭外部專業資訊人員使用特定工具及技巧進入該資料庫內查詢近三個月的會員異動資料。」
IDA的官方網站:
https://hex-rays.com/ida-pro/
Ghidra的官方網站
https://ghidra-sre.org/
藍隊(防守方)
前幾天筆者合作的出版社,接到讀者來信詢問,大意就是,他的電腦被駭了,請問我們有寫駭客書籍的作者,是否能夠幫忙他解決這個問題?藍隊也面臨同樣的問題,通常到了Defense Evasion(防禦規避)階段,系統事件已經可以紀錄到異常,NDR、防毒軟體也會跳出警訊。但是對資訊人員而言,要如何處理受駭主機,以下提供參考:
ISO27001標準的災難還原流程,首先是設定「最長可以忍受的不便時間」(RTO(Recovery Time Objective)指的是系統重啟、回復正常運作所需花費的時間)
接著要看是伺服器或是PC(個人電腦)被駭,以下假設為PC
如果RTO時間很短,建議送原廠修,然後拿公司內其他備用機先用。
如果RTO時間比較長,一樣建議送原廠,但請原廠重新安裝,整個硬碟做低階格式化並更新作業系統、BIOS靭體
而如RTO時間很長,則建議先拔除網路線和電源,送資安公司檢測硬碟,做惡意程式的逆向工程,並找出被駭範圍和還原原始資料、程式檔。
最後,請參見我的資安健診書,做防禦緃深,多重備份。
資安健診書網址:
https://www.books.com.tw/products/0010945469
如果是伺服器
如果RTO時間很短,先切換到備用伺服器
如果RTO時間比較長,建議報警,通知資安險保險公司,並拔除網路線,保持發現時的原始狀態(即未關機的電腦先不要關機,才有機會傾印記憶體內容;已關機的電腦不要開機,以防勒贖病毒加密更多的檔案)
保全現場(機房出入登記表,禁止非保險公司授權的人進出)並等待檢調單位(或保險公司指定的合格事件鑑識實驗室)至現場取證(這步很重要,避免污染數位證據,也避免檔案的存取日期有異動影響證據力)
事件鑑識結果出爐後,還要告入侵者,那個伺服器的硬碟會是證物,而我們知道訴訟時間長,所以伺服器拿回來時硬體規格上也過時陳舊了。但是我們備援的伺服器,一樣要做事件鑑識,把漏洞都做修補,或者採用可選用的緩解措施。
請讀者注意
iThome鐵人賽
看影片追技術