前兩個外洩事件案例,我們分別用「管理配置」、「供應鏈管理」的角度,
分別透過事件來看看造成資料安全威脅的幾個面向,
而今天是要透過公部門的外洩事件,來看看資料活動本身的安全性。
「2022 年 10 月調查局發現暱稱「OKE」人士於國外駭客論壇BreachForums公開兜售我國戶役政資料2357萬2055筆,要價5000美元,並以虛擬通貨作為付款方式,該賣家為取信買家,更於兜售網頁公開20萬筆資料供驗證資料真實性,並留下Telegram作為交易聯絡方式。調查局指派資安工作站及台北市調查處組成專案小組立案調查。專案小組取得「OKE」販售完整資料進行研析,證實外洩資料為我國2018年4月以前之戶役政資料,再比對資料欄位、資料編碼與格式,部分與戶役政系統原始資料有所出入...」
資料來源:https://www.chinatimes.com/realtimenews/20230224003160-260402?chdtv
戶役政系統自日據時代即建立,是我國政府機關擁有最完整民眾資料的機關,
本次外洩的資料除了基本個人資料外,資料內容詳細與廣泛程度,
均是一般商號資料外洩程度之最與影響之廣,
故當新聞開始報導全國 2300 萬人資料外洩時,
一時也引起社會的軒然大波與社會輿論關注。
與戶役政系統介接的資料使用單位甚廣,
經後續報導得知,檢調單位在追查案件時,
雖然資料非系統原始格式,可能係透過多個來源彙整而得,
但仍跟戶政核心系統產生高度關聯,
同時政府各機關介接役政資料繁多,
且相關稽核日誌也未完整保存,導致追查線索有限,
亦無法完整溯源,只能透過後續比特幣交易循線調查而知。
而是否可能有持續的資料外洩情形也不得而知。
目前資料外洩的主管機關,會因為企業或機關屬性不同而有不同裁決的主管機關。
而法規層面還僅有個人資料保護法,可以要求與裁罰相關管制作為,
但實質裁罰的力道與效力有限、僅能做到警告效果、實質敦促的改善動機有限。
整起事件可以看到,在相關資通訊系統的稽核日誌上的不足,
是無法釐清是因為系統漏洞導致,還是由人為轉售而出,
而相關資料的存取的人事時地物,也很難舉證相關日誌記錄。
再者戶政系統牽涉單位廣、介接系統多,
故不是單純針對資料庫等環境進行直接安全防護強化就足夠,
還有針對與其介接的周邊系統,以及人員權限管控,以及存取活動的紀錄。
而有了偵測與保護機制之外,定期、不定期的檢視紀錄、測試相關資安機制,
或甚至主動式掃描有無資料外洩途徑、系統可被利用之風險,
也都是在承平時期可以著墨與推動的措施,
但還是回歸到初篇談及的,資訊安全的推動都需要很強的經濟推動力,
無論是透過營業損失或法規裁罰,才能夠在真的資安事件發生前,
具體在平常時期建議、維護與測試各項資安檢測或保護機制。
資料外洩事件無論國、內外都層出不窮,原因也各有不同,
因此基本上只要隨著科技持續進步、社會運用更多的技術協助我們生活更有效率,
資訊安全 / 資料風險這樣的議題與需要性也就不會停止發展,
希望這三篇的外洩事件案例,可以讓我們大概略的了解近期資料安全面臨的風險情勢為何。