昨天的資料外洩事件是以「配置管理不當」導致的,
凸顯出資料在應用現代雲端環境時,跟以往傳統環境不同的挑戰與環境特性。
今天延續外洩事件的 Part II,要來看的是因為外部供應鏈管理不善導致,
而資料外洩發生的原因有很多,除了本身專業性管理的議題之外,
當企業內部的資料授權給開發團段或委託外部專業開發公司進行使用時,
也都會直接或間接造成在資料安全管控不當時,造成資料外洩。
今天的鐵人文章要來看看發生在年初、在航運業者爆發的會員資料外洩的案件。
該公司在台灣是最悠久的航運公司,
自公司組成以來即是我國最重要的航空業者與公司,
甚至承攬著政府重要外訪專案與重要貴賓的重要業務。
同時它也是上市公司,也接受來自證交所的監管,
故一發生資安事件時,即引發各界的關注與好奇。
該公司有官方單位的持股,故某程度上也受到政府機關的監管,
尤其在本次事件外洩的資料當中,也有很多係重要政府高層資料,
也讓本起事件承受更多來自公部門的關注,以及後續相應的精進發展。
在本次外洩事件當中,駭客出具的相關資料,
均是在社經地位具知名度與影響力的重量級客戶,
包含政府、演藝圈或地方政府人士的個人資料,
都讓事情發生當下,整起事件受到社會輿論的關注更高。
相關外洩的資料,也同步在暗網銷售與販售,
甚至明碼實價的標售相關資料價格,
從以往單純網路系統的駭侵,跟實際經濟活動產生關聯,
也更引起關注資料外洩的內容、層級在地下市場經濟行情的細節。
根據官方發佈的重大訊息揭露提示:
「檢測出委外的電商平台系統連線異常狀況,經查有5千多筆會員資料遭擷取,
內容包括會員卡號、中英文姓名、電子信箱、電話號碼,並無信用卡交易資料。
本公司已即刻啟動防禦應變,成功阻擋外部不當連線,確認已無資訊外流,」
基本上本次資料外洩係因外部服務廠商,在提供電商相關服務時,
遭異常外部連線獲得相關資料,但直到駭客公布相關資料時,才得知整起事件。
有可能是存有資料本身的資料庫,已然遭駭客滲透埋伏,所以可以拿到相關資料,
或是透過內部橫向移動、系統提權,在某一側進行環境資訊搜查,
無論何者,本起事件都顯示即使母公司本身資安措施良好,
但仍無法避免駭客向其中、下游廠商著墨,進而拿到相關重要價值資料。
故這兩年的半導體協會 (SEMI) 也開始推動建立相關供應鏈廠商應遵守的資安防護措施
要求相關廠商與企業需遵守與達到一定程度資安等級,
才能夠持續相應的商業與企業活動。
目前公開媒體資料上並無針對該起事件後續的報導,
研判也因為當下即刻阻止惡意連線持續造成的資料外洩,
企業內部也應有相應的強化與監管措施正持續導入實施。
本起資料外洩的焦點在於資料安全數「掛一漏萬」,
即使本身城堡銅牆鐵壁,但仍可能在內、外輸送必要物資時,
遭駭客夾帶或趁隙流入竊取有價資產,
故越大型企業、跨國公司或集團式管理,均會有「供應鏈管理」的議題與管理責任存在。