你沒意識到的資安危機！ 三招提高你的企業資訊安全性！

        在2023年1月和2024年3月，華航兩度遭受駭客犯罪集團的入侵，導致大量會員資料被竊取並在暗網上兜售。這些資料的曝光範圍相當廣泛，共有超過100萬筆個資洩漏，其中包括會員編號、中英文姓名、性別、出生年月日、電子信箱、手機號碼及國碼等敏感信息。更令人震驚的是，這些被洩露的資料中不僅包含普通民眾，還涉及到多位政商名流的個人信息，包括台積電創辦人張忠謀、副總統賴清德、以及知名名模林志玲等人。

       事件爆發後，華航立即展開調查並加強了內部的資安防護措施。包括加密技術升級、員工資安意識培訓、以及強化防火牆和入侵檢測系統等多項行動，以防止類似事件再次發生。此外，這起事件也促使其他企業開始重新審視其資安防護措施，特別是那些掌握大量客戶數據的企業，意識到必須投入更多資源來加強數據保護，避免成為駭客攻擊的目標。

本文目錄

• 什麼是資訊安全
• 資料外洩類型
• 內部資料外洩案例
• 三招防範資安危機
• 客戶案例分享

什麼是資訊安全

資安定義

       資訊安全（Information Security），簡稱資安，是指透過一系列有系統的措施和安全流程，來確保資訊資產不會被未經授權的存取、使用、修改、中斷或損壞。許多人經常將網路安全與資訊安全視為同義詞，但實際上它們的重點領域有所不同。

       資訊安全涵蓋的範疇非常廣泛，包括保護各種形式的資訊，如電子數據、客戶資料以及口頭傳達的訊息等等。而網路安全則是資訊安全的一個子領域，專注於保護網路、基礎設施和數據流的安全，防止未經授權的存取、資料洩漏、服務中斷，並確保資料傳輸的安全性等。

關鍵三要素

       資訊安全經常被歸類為三要素，也就是所謂的「CIA」，分別代表機密性（Confidentiality）、完整性（Integrity）和可用性（Availability）。這三大核心原則共同構成了資訊安全的基礎。機密性確保資訊僅能被授權的個人或系統訪問，完整性保證資料在傳輸和存儲過程中維持其準確性與一致性，而可用性則確保資訊和系統在需要時能夠被授權的使用者正常訪問。這三個要素的協同作用，為保護資訊資產提供了全面的安全保障。

資料外洩類型

       Data Leak 和 Data Breach 雖然都涉及資料外洩，但本質上不同。Data Leak 通常由設定不當或人為疏失引起，屬於非惡意事件；而 Data Breach 是未經授權存取機密資訊，通常帶有惡意，是更嚴重的威脅。

資料外洩不僅是資訊管理人員的責任，還是一個管理問題。IT 部門應負責技術設定，但不應擁有機敏資料的讀取權限。企業需關注底層架構設計的資安缺口及使用情境中的風險。

       隨著數位化進程，資料安全變得更複雜。資料不僅存於地端，還分布在雲端、SaaS 等載體中，這為資料管理與保護帶來更大挑戰，企業必須採取相應措施來應對。

       資訊安全除了外部駭客和病毒攻擊外，還存在一個企業經常忽略的重要威脅：「內部危機」。根據資安分析業者Securonix近日公布的《內部威脅報告》（Insider Threat Report），高達90%的受訪者表示，內部攻擊的偵測和預防已經變得與外部攻擊同樣困難（53%），甚至更加困難（37%）。由於內部威脅通常缺乏明顯的犯罪指標，因此企業需要採用更精密的檢測技術和更強大的預防措施來應對。

       報告指出，在由內賊造成的資安意外中，有60%是來自於那些即將離職的員工或約聘人員。這些被稱為具有「flight risk」（遷徒風險）的員工中，有超過80%的人在離職前的2週到2個月內破壞了企業的資訊安全。

       此外，值得注意的是，6.25%的案例中，資料是透過外部網站盜走的，而2.68%的案例中，內部人員甚至直接將電子郵件寄給競爭對手。

       這些數據揭示了內部威脅的多樣性與複雜性，也提醒企業在加強外部防禦的同時，不可忽視來自內部的潛在風險。建立全面的內部威脅監控機制，並對員工進行適當的安全教育和權限管理，已經成為現代企業保障資訊安全的關鍵任務。

內部外洩案例

       隨著生成式 AI 工具如 ChatGPT 被廣泛應用來提升工作效率，全球企業逐漸採用這類技術。然而，三星電子（Samsung Electronics）近期發生的機密資料外洩事件引發了對資訊安全的高度關注。為了防止類似事件再次發生，三星宣布禁止旗下員工在公司擁有的設備上使用這類服務，如電腦和手機。

       今年三月，三星電子曾開放員工使用 ChatGPT，但在短短20天內便發生了多起機密資料外洩事件。外洩的資訊包括半導體設備量測資料庫、生產／瑕疵設備相關軟體，以及一份公司會議語音轉錄的文字紀錄摘要。部分員工將這些敏感資訊輸入 ChatGPT，導致其被存入生成式 AI 的數據庫中，三星因此擔心商業機密遭外洩，決定禁止在公司設備上使用這類服務。

       這項禁令僅限於公司擁有的資訊設備，對於私人裝置的使用則不在此限，但若違反規定，員工可能面臨嚴重處分，甚至被解雇。三星在內部信件中強調，使用 ChatGPT 或 Google Bard 等生成式 AI 服務時，輸入的資料可能會被儲存在外部伺服器上，不僅難以追蹤或刪除，還有可能被其他用戶獲取，因此提醒員工避免輸入敏感內容。

       此外，三星內部正在研議如何在維護資訊安全與保護商業機密的同時，打造一個可以安全使用生成式 AI 的環境。根據今年四月進行的問卷調查，有 65% 的三星員工認為生成式 AI 服務對公司資安構成威脅。其他金融業巨頭如摩根大通、美國銀行和花旗集團也已經限制或禁止旗下員工使用這類服務。

三招防範資安危機

一、資訊架構及網路連線設計不良

       企業資訊基礎架構越來越複雜，這讓IT人員在規劃、維運及監管上面臨挑戰。最近的行動出租服務商個資外洩事件便是因為暫存資料庫未有效阻擋外部連線，洩漏了客戶資訊。企業若忽視資安管理，難以主動發現資安漏洞或資料外洩問題。防範的關鍵在於及早發現並修正問題，應積極進行資訊及資安管理，並定期與外部專家合作進行安全性檢測。設立完善的監測和回應機制，以防駭客異常存取，保護資料不外洩。

二、資料結構未妥善分權、分類

       資料是企業的重要數位資產，良好的資料治理政策需考慮安全性與可用性。資料分類是防護的第一步，應依據組織的需求訂定分類結構，再制定存取規則以防資料外洩及惡意操作。高頻使用的資料應有備份或備援機制，以防資料遺失。資料權限應與身分安全討論，依據「3A原則」（認證、授權、稽核）來管理，避免永久授權，採取有限時間的存取權限，進一步控管可能的外洩風險。

三、未落實權限加密、流向追蹤或稽核記錄

       在數位化的現代企業中，資料流轉不僅僅局限於內部網絡，外部連接和移動設備使得資料傳輸變得更加頻繁且難以控制。因此，企業需要針對資料的機密程度採取相應的防護措施，以降低資料外洩的風險。對於高機密的文件，應該採用先進的資料外洩防護技術（Data Loss Prevention, DLP）來加以保護。這些技術不僅能夠對文件進行標籤分類，還能夠追蹤資料的傳播路徑和修改記錄。此外，必須保留完整的資料稽核紀錄（Log），這些紀錄可以作為法律證據，協助企業在發生資料外洩事件時進行調查和追蹤。

       現實中，多數企業在資安法遵方面的專業知識和實務經驗普遍不足，這使得在發生資料外洩事件後，企業面臨的不僅僅是技術問題，還包括後續的稽核調查、責任追究、消費者訴訟及賠償等複雜問題。因此，企業應該重視並建立健全的稽核紀錄系統，以便於在發生資安事件時，能夠提供充分的證據來進行資安鑑識和法律維權。

       此外，企業應考慮實施資料權限加密技術，以確保只有授權用戶才能夠存取機密資料。這種加密措施能夠有效防範未經授權的訪問，並且在資料傳輸過程中提供額外的安全保障。進一步地，企業還應建立完善的資料流向追蹤系統，以監控資料在內部和外部網絡中的流動情況，確保在發現異常行為時能夠及時作出反應，防止資料被不當使用或外洩。

       總之，未落實權限加密、流向追蹤或稽核記錄的企業，面臨的風險將顯著增加，因此需要積極建立和完善相關的資安防護措施，確保資料的安全性和合規性。

客戶案例分享

需求目標

爭取信任：符合合作公司要求之資訊環境，包括加密的機敏文件與安全的電腦環境

資安強化：優化內部管理，防止外賊侵入、內賊竊取

改善措施：強化完成稽查改善，實現稽核承諾，爭取客戶長期交易信任

短期目標：基礎資安建置、文件保護

長期目標：落實公司內、外部資訊安全與資料保護

使用產品

使用情境與解決方案

公務機統一控管：授權拍照及上網➡️Cisci Meraki行動裝置控管

所有文件受到管制：資料完整保存與保護➡️每位員工各一個VES帳號、使用者文件統一加密

辦公上網環境接受管制、上網發信管制➡️Fortinet防火牆、企業級交換器、企業及分享器、Openfind郵件前稽核與過濾、網路設備專用機櫃

員工登入身分認證➡️每個員工各一組GoTrust ID、免密碼多因子認證

公司資產清單管理、控管員工下載軟體及USB➡️CIRO端點資訊安全管理、軟硬體資產管理、檔案軌跡追蹤

效益與成果

符合合作公司資安檢核，成為大廠長期供應夥伴

優良設備與作為，阻絕內外賊、取得更多客戶信任

混合式策略(雲端資訊系統化+地端備份)，簡化成本支出

建立專業保密企業環境，以制度作為取得更多供應鏈商機