因應電動機車的盛行,國內已有電動機車「駕駛行為計費保險(UBI)」的保險商品出現,但因UBI保單須搭配車載機蒐集資料,並會分析駕駛人行為,引起消費者疑慮。除UBI車險外,未來應該會有更多實際案例。但除了個資保護與內部管理,也要特別注意勒索軟體的攻擊。
曾幾何時,社交工程郵件或釣魚網站的出現,已成為使用電腦、行動載具時司空見慣的景象。更甚,勒索軟體帶來的威脅與影響,並非天方夜譚,反而是使用者或經營者隨時要注意或因應的情境。例如美國於2021年5月就發生輸油管道業者遭勒索軟體攻擊,造成其營運中斷,並引發部分區域因無法供油致影響上班、上課等問題。
不僅美國關鍵基礎設施業者受到攻擊,今年4至5月間日本二家知名保險公司Ryan Specialty Group(RSG)及東京海上(Tokio Marine Holdings),也陸續遭受勒索軟體攻擊。雖然具體損失未對外公開,但整體來看,此類業者因掌握重要資訊或基礎服務,在資料經濟時代內,其所擁有的資產深具價值,常成為駭客攻擊的首要目標,故應小心防範。
勒索軟體攻擊不限產業資料運用時要預為因應
伴隨科技發展與需求趨勢,保險公司不斷思考如何將手上的眾多資料進行加值運用,甚至開發出新興的保險商品或服務,希冀獲取實際利潤。 如2020年時國內已有保險公司因應電動機車的盛行,設計出第一張電動機車「駕駛行為計費保險」(Usage Based Insurance,UBI)的保險商品;對於此類新興保險商品,金管會也樂見並鼓勵保險公司,可以考量搭配目前政策及社會大眾需求,持續研發更多商品。
結合實務需求,金管會更於2020年7月發布新聞,說明修正「保險業保險代理人保險經紀人與異業合作推廣附屬性保險商品業務應注意事項」,增加消費者可透過不同網路平台購買附屬性保險商品之便利性。
例如,該注意事項第4點修正之後,開放保險業等可與電動機車製造業者合作推廣附屬性保險商品之業務,如前述提及之UBI車險。
一般來說,傳統的車險依據年齡、性別、車輛廠牌、車齡等等來設計保費,但費率較為固定,無法因不同當事人給予客製化服務。
然而,UBI保單可以根據駕駛人之行為,來調整車險的保險費率。惟如何蒐集或分析駕駛人的行為,則是透過車載機或相關裝置如「車上診斷系統」(On-Board Diagnostics,OBD)蒐集到之資料,並搭配駕駛里程數、開車時間等資訊進行分析,綜合判斷後找出安全的駕駛人,而給予較低的保費優惠。
但因UBI保單須搭配車載機蒐集資料,並對駕駛人之行為進行分析,如里程數、開車時間,引起部分消費者疑慮,認為有涉及隱私之可能。且對於保險公司是否能保護個資,甚至是落實資安管理,並無太大信心。也因此造成我國UBI車險在同類保險商品之市場內,約僅佔1%,並不若國外有5至10%甚至以上規模之普及。
不過,考量資料運用及相關發展趨勢,除金管會給予政策鼓勵外,也有其他主管機關,如經濟部技術處考量資料治理等需求漸增,為協助產業發展,陸續投入資源予研發資料治理解決方案,並推動如企業機密與車輛資料之存證應用,以促進或活絡產業資料治理之服務或生態系。
相信未來除UBI車險外,應該可看到更多實際案例。但如前所述,除了個資保護與內部管理,也要特別注意勒索軟體之攻擊,或設法降低其影響。
可參考美國白宮提供防制勒索軟體攻擊的最佳實踐
由於近期勒索軟體攻擊的案件增多,美國白宮特別於6月初發表新聞。在該則新聞內,白宮提到,如本年5月輸油管道業者遭受攻擊外,6月又有肉品業者遭受攻擊,影響營收甚大,為此提醒私部門(如企業或組織)應予重視;且5至6月間,已先由國家安全顧問Anne Neuberger名義對業者發出公開信,提醒企業或組織經營者、產業領袖應立即採取措施,以因應勒索軟體之威脅。
在防範勒索軟體的方法上,於美國國家安全顧問Anne Neuberger提醒經營者或產業領袖之公開信內,包含5項具體建議,係白宮認為防制勒索軟體之最佳實踐(Best Practices),計有:
1.備份相關資訊
2.即時更新與修補系統
3.測試事件應變計畫
4.檢查安全團隊之工作
5.落實網段管理
該公開信除有建議作法外,更不斷提醒經營者應隨時注意防制或因應勒索軟體。
至於美國資安主管機關-網路安全與基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)也針對勒索軟體建置專屬網頁,並提供重要參考資訊,如2020年9月之指引(The joint Ransomware Guide),其中亦含最佳實踐與事件應變之查檢表(Checklist),且內容多與技術相關,如設計網路架構、設定防火牆,以及應變與復原之建議,有助於IT人員等規劃或採用。而2021年1月CISA更推動降低勒索軟體風險的運動(Reduce the Risk of Ransomware Campaign),希冀公眾依其提供指引或相關單位之建議,施行最佳實踐等;CISA或其他資料均已對外公開,都可供參考。
結語
除了美國、日本之案例外,因金管會也於2020年發布「金融科技發展路徑圖」,規劃將以3年時間,提升數位金融服務效率、可及性、使用性及品質等。樂見我國如保險或其他產業已積極結合科技與資料應用,且現行政策除了可以協助企業或組織因應資料經濟時代,甚至能創造商機。
惟誠如本文建議,規劃資料治理及其配套措施,在以資料為王的現代,應注意資安威脅與影響,包含但不限於勒索軟體或其他。站在風險管理的角度,更建議經營者或從業人員,對於勒索軟體或可能之解決方案,應預先準備,以達「勿恃敵之不來,恃吾有以待之」的境界。
<本文作者:陳宏志目前服務於資策會,專注於資料治理議題,如資安、個資政策或法令及管理實務,並協助零售、物流、智慧財產權等規劃區塊鏈應用。>