资料外泄的原因不见得是电脑或网路,还是热心的亲友,街坊邻居或是缺乏资料保护意识的任何人。
当我在外面参与研讨会或阅读某些资讯安全的报导时,总会注意到这几件事被混在一起谈:资料保护,个资保护,资讯安全,网路安全,网路攻击,而且总是被引导最简单的解决方法:买了某个方案→保障网路安全→避免资料外泄→不会被告。
屏幕左边淡橘色截断的圈圈代表的角色是企业,企业的基本需求是正常运营,如财务正常,营销正常,讲得浅显易懂一点,就是每天正常开店门运作赚钱做生意,如果是网路平台或是APP,就是它可以正常运作,消费者可以正常浏览页面,正常下订单,正常的投放⋯⋯重点是要能营利。画面右边黄色的圆圈为消费者,最基本的需求是维持日常,不要过多意外发生,一切维持日常就是小确幸,可以上购物平台血拼,付帐单,取得知识,抒发情绪,和家人一起吃饭,游玩。
两者的交集就是“个人资料”。
多数的网路使用者并不认为「自己的个人资料」具有多大的价值,所以当我在提醒每个朋友注意个资安全时,我多会得到「反正自己不是名人,被偷不会有什么意义”的答案。
请大家回想去年发生的Equifax事件:
9月7日爆发了资料外泄事件,1.43亿美国居民的资料外泄,还有一些加拿大人与4400万名英国居名的资料也遭到窃取取⋯⋯被骇走了1.43亿美国人民资料包括这些资料相当于一个人的「身份」被窃取,可以被重组后伪造。
当你个人的资料被窃取,再通过伪造后,可以在网路上进行各种活动时,将会这么事不关己吗?你要怎么证明自己不是在网路上进行非法活动的那个角色?当你的照片被人盗用,另外再伪造一个身份时,你要如何证明对方是伪造的身份?要如何证明“你”就是“你自己”?要如何证明自己因个资外泄造成的损失和要求补偿?
对企业来说,当类似Equifax事件产生时,要怎么去面对你的客户?要如何亡羊补牢?要如何重建声誉?要如何避免Equifax事件(再次)发生在自己的身上?
关于「个人资料」的定义
在台湾个人资料保护法里对「个人资料」的定义为:「个人资料:指自然人之姓名,出生年月日,国民身分证统一编号,护照号码,特征,指纹,婚姻,家庭,教育,职业,病历,医疗,基因,性生活,健康检查,犯罪前科,联络方式,财务状况,社会活动及其他可以直接或间接方式识别该个人之资料。
在即将实施的欧盟GDPR中,将是“个人资料”定义为:“ “个人资料”是指与已识别或可识别的自然人(“资料主体”)相关的任何信息; 可识别的自然人是指可以直接或间接识别的自然人,特别是可以参考诸如姓名,识别号, 位置数据,在线标识符之类的标识符,或者可以参考特定于身体,生理,该自然人的遗传,心理,经济,文化或社会身份;”
在现今什么都有上网连线的年代里,GDPR只是考量到更多关于现实生活应用所产生的个人资料,例如在上一段引用GDPR里特别以粗体线标示的“位置(位置数据)””和“线上辨识资料(在线标识符)”。
在这里的的“地理位置”已不包括我们习惯的住址或信件收件位置,或者当用户是一个喜欢四处打卡或喜欢即时分享旅游景点,或者通过Google的服务切换位置,或是地图等应用服务或启用了「寻找电脑/手机」类似的服务,那么服务商们一定会有使用者当下的位置资讯资料,更不用提一些APP会分析区域使用者而收集的位置资讯,来做更多的服务。「线上辨识资料(线上识别码)」,不止包括我们所谓的网路位置,还包括了我们在一些服务中使用的昵称,化名,BBS里的ID,社交平台或应用程式里所使用的名称,都被定义在「个人资料」里。
做好「资安防护」就等于「档案资料安全」?
也许是文化因素,导致我们普遍的在遇到“规范”与“关注”时,就会想到应变的对策:
- 要怎么样才不会被罚?
- 要怎么样证明不是我(企业)的责任?
因为目标被设定在「不要资料外泄就不会被告(罚)」所以大家都会想:「什么情况会导致资料外泄?」然后又会被业者引导「做好资安防护就可以避免资料外实际上,这个指标大概只占了少部分,如我第一张示意图表示的,保护资料只占了了资安防护的少部分,资安防护的目的,是要让服务正常运作,可以正常的上下班,让企业网路服务不会因为因为他到网路攻击而无法运作。被骇而遭受盗领的事件,都显示了企业若要进行资安防护,保护的目的不是只有资料保护,而是维持企业正常营运。
资料外泄的主要来源是⋯⋯
同时我查看了从2004年到2018年这中间所收集到的71则与个人资料外泄相关的新闻,看到这,可能会吃惊这几处怎么只有71则?
我想先说明的:
- 针对在台湾所发生的新闻,未包含跨国服务如:Yahoo,Dropbox,Bitly等服务商的资料外泄,这些则多半是系统上的突破而遭受攻击。
- 有些个资外泄的新闻到后来会发现与「网路」没有直接关系,所以在后期也可以重新录入与个人行为导致的资料外泄新闻。
- 相同事件重覆的报导,或者通过日程不同,有判决结果再度被报导都会被排除,只剩一则事件。
- 有些资料外泄的事件因为范围太小或不是知名人物而不被报导。
- 无后续报导或找不到的则归为“未确定”。
在检视这71则新闻后,大致做了几个分类,同时解释如下:
- 个人行为约38则:例如借职务之便而泄漏个资,因为不知自己的行为违反了一个资法⋯⋯等。
- 系统设计漏洞约30则:被找到的系统漏洞,被社交工程获取帐号密码⋯⋯等,举凡透过第三方外力导致的,我都把它归纳为系统设计漏洞。
- 公司缺乏资料保护政策只有2则:例如没有销毁有个资的纸本或硬碟,通常发生在早期个资法开始实施之初。
- 未确定1则:只有报导发生事件,但未发生的因素。
自这71笔的资料统计中,观察的出来就是台湾所发生的个资外泄新闻里,半数以上都是个人行为导致,借职务之便去查询资料再给其他人或贩售大量个资又或是因个人行为的失误造成一人或多人的个资外泄。
当台湾的个资法开始实施时,有很多公司也制定了过多对应的政策,例如禁止员工使用私人的存取装置,禁止使用第三方(如Google,Dropbox)的云端存储服务,禁止员工使用即时通讯软体传送档案⋯⋯等,也听闻过因为员工不慎用私人的存取装置就被开除的事件。同时因为相关媒体报导,也使企业查看并建立资料保护与文件,储存装置销毁的相关规范可让员工依循。当然最可恶的,就是借职务之便查询个资后,贩售或泄漏的人。
也曾在大众运输目的地,超商,百货公司等公众场合里,听到有人在大声念诵自己或家人的身份证字号或护照号码,生日,住址,或者与素未谋面的人为家人或自己的财务状况,病历,婚姻关系,教育⋯⋯等这些在台湾个资法里明文规定的个人资料。我常与朋友开玩笑,也许亲友邻居保险业务员才是个资外泄的主要来源。
基本上是「系统设计漏洞」,通常会出现在委外建置的情况,可能是在系统设计时的漏洞被找了出来,或是工程师们在产品上市前忘了要把那道测试用的后门关闭导致的各种资料外泄意外,虽然也是“人”造成的因素,但通常也是因为他人的攻击而出现新闻。
建立资料保护的意识需要时间
没有安全的网路环境,消费者就不敢透过网路来消费,使用各种服务,自然也不用冀望会然而,在每次的讨论里,大家也心知肚明,现实情况是“建立资料保护的意识很重要,但不是那么容易”。
尽管透过实际面对面的教学,网路线上教室或影音教学,都是许多单位做过的方式,但短期内的效果有限,还是无法快速的扩展。通常需要时间潜移默化,例如在2012年初发生的医院因为未销毁病历导致的资料外泄,现在已过多听见了。
最快速的方法就是如政府立法,通常会使企业严阵以待,但也容易失焦。例如欧盟的GDPR在公布的日期后,所有与欧洲有密切的往往的国家,会获得欧洲人身份资料的服务,都开始担心要怎么去因应GDPR的天价罚则和诉讼的规范,而没注意到公司要有资料保护的政策,在GDPR中不同的角色所负的责任,另外需要建立「资料保护长(资料保护(注1)协助监督资料保护政策,资料处理程序与政策上是否符合GDPR的规范(请见GDPR的第37、38、39条)。不止是GDPR,实际上台湾算是亚洲少数有个人资料保护法的国家之一,这也令许多其他亚洲国家人民感到羡慕,但台湾的资料保护法已需要再修订,以符合时代趋势。
除了制定法令外,企业的教育训练也能协助建立内部员工对资料保护的意识,员工把这些教育训练知识内化后,也可以影响其亲友,慢慢扩大资料保护意识的影响力。
