資安威脅及挑戰 變與不變的因應策略

國際大規模資安事件發生同時，其實在身邊，各規模、形式的資料外洩、駭客攻擊事件從未停止。資料竊取幾乎已是詐騙集團最重要的前導作業，台灣層出不窮的詐騙電話便依賴大量外流的個資取信於民，受害者往往因詐騙人端出的事實資料落入歹徒陷阱。換言之，網路犯罪已和傳統犯罪緊密結合，企業或組織若願意聘請保全維護實體環境的安全，更不應忽略虛擬環境的攻擊，伴隨而來的財物損害可能更大。

個資法上路日期不遠

事實上，當前企業組織面對的資訊安全挑戰，的確遠較過去更為複雜，攻擊者也因目的與技術能力各異，而有完全不同的攻擊行為。由於駭客工具的氾濫，一般民眾容易在網路上購買或免費下載現成的攻擊工具，自行發動攻擊；此外，專業組織化，甚至可能有來自政府支援的攻擊「團隊」透過精密研發的攻擊手法與策略，有計劃針對特定對象蓄意滲透，以取得他方的情報、商業機密等。

威脅不僅來自惡意攻擊者，社會對企業組織提昇資安防護的期待，本身也可能對企業帶來另一程度的壓力。經立法院三讀通過逾一年的新版個人資料保護法施行細則，也終於在10月27日公布草案，換言之，新版個資法正式上路的日期已指日可待。

企業面對如此複雜的外在環境，還得承擔來自政府法規的要求與罰則，一方面嚴防企業營運與資訊安全遭受威脅，一方面還得擔憂一旦資料外洩，可能面臨的形式責任或高額罰款風險。

從資安防護到風險管理

顯然地，過去常見應用於資訊安全的「防護」概念，在面對當前如此複雜的資安環境，明顯已被推翻，因為對手從哪裡來、怎麼來、衝著什麼而來，已很難事前精密確認。防護網的架設結構、架設點不易有效定義，更遑論若架構不當，還可能面臨後續的處罰賠償責任。

面對如此複雜的威脅環境，企業組織因應的關鍵方式，應是先反求諸己，首要深入了解自身狀況，才可能應對瞬息萬變的安全威脅，把資訊安全真正融入組織的營運與業務流程當中，並且將其視為企業整體風險管理的一環，以管理取代防堵、以清楚的政策因應瞬息萬變的環境，才是根本之道。

企業組織正可利用個資法即將上路的機會，徹底體檢自身的資安曝險程度；資訊安全其實是隱私保護的基礎，因此企業不論是面對新的資安威脅或個資法的要求，仍需回歸本身的風險管理與資安政策。

政策落實決定勝敗

舉例來說，企業本身的營運資料生命週期管理上，有沒有做到基本的層級定義，並因應這些定義的層級進行人員存取、授權控管？個人資料保護的管理其實也十分相似，企業一定得先有清楚的個人隱私資料定義，區分隱私資料與非隱私資料。舉例而言，單純洩漏電話號碼其實並非個人隱私，但若搭配可辨識個人身分的資訊，如姓名，便算觸犯法規。在有清楚定義的前提下，便能擬訂管理資料的政策，搭配確實的政策落實，才有可能進一步達到良好管理－既能善用，又不擔心外流。

企業組織有必要徹底進行內部資安與隱私保護體檢，了解自身營運模式，以及流程上的資安與隱私保護弱點，進而對症下藥，制定符合組織所需的管理政策。然而，不論是資安管理或隱私管理，政策代表的是原則與大方向，執行面的落實，往往才是決定成效良窳的關鍵。而執行成效好壞，員工的認知和投入，往往是勝敗決定的重點。因此積極把資安與隱私政策融入員工訓練、日常作業流程，其實非常重要；有典章制度卻沒有落實，或是缺乏持續性考核，就無法真正因應來自四面發方的資安威脅與大意漏洞。

檢視近來許多令人瞠目結舌的資料外洩事件，往往可發現，關鍵員工某些大意違反資安政策的行為，是造成後續一連串攻擊發生的起點。舉例來說，不應點擊可疑網址、不應開啟來路不明的郵件，早已是許多企業最基本的資安行為管理規範環節之一，但在執行面的真正落實程度，未被列為追蹤考核項目，如此一來，難以讓員工有足夠的動機配合相關內部政策。

外在環境瞬息萬變 基本功更形重要

新興技術演進速度飛快，攻擊手法也隨之推陳出新，但對企業組織而言，營運資料、客戶資料、內部計畫等營業機密的保護，其實早從中國古代的藏頭詩、羅馬帝國加密信件的發明起始，千古未變的原則。

徹底檢驗內部流程的曝險程度，同時釐清本身的目的、需求、風險承擔能力、可投資的成本規模後，再進一步擬定符合企業組織特性的資安與隱私保護政策，加上深度的員工教育，並採用科技輔助落實政策執行，儘管是老生常談，卻也是不可迴避，既治標、又治本的基本功。

經濟部因應全球趨勢，已開始在台灣推動資料隱私保護標章（Data Privacy Protection Mark，DP Mark），以爭取員工、合作夥伴與客戶信任，包括德國、日本等先進國家，也開始加強非法規面的資料安全鼓勵行動。在可預見的未來，資訊與隱私安全將不再僅是企業被迫配合的法規要求，更將是有助提高企業價值的加分項目，台灣的企業組織不妨利用個資法即將上路的良機，徹底進行資安與隱私體檢，進而加強自身管理，把法規遵循的壓力，視為自我提昇的契機，踏上更高層次的階梯。