为何个人资料外泄事件像极了不可解的X档案?让我们一起从2009年第一条震惊产业界的资料外泄事件谈起:战国策外泄4,270笔客户订单数据。
战国策外泄客户订单等数据一事发生至今,仅战国策的客户、其他主机代管业者以及信息安全专家先后针对该事件表示看法,如战国策客户不满战国策无主动告知该事件,以及信息安全业者呼吁战国策客户以更换密码等方式避免恶意份子窜改其数据等;反观战国策,其除要求Google移除相关数据,以及对外表示正在追查促发该事件发生的原因外,无其他解释。
战国策对该起资料外泄事件的做法是─不大积极的亡羊补牢。发现资料外泄状况后,战国策除赶紧请Google移除相关信息(先补墙防止发生更多问题)外,对于那些可能恐已被狼群(黑客等恶意份子)刁走的亡羊、或者是还在栅栏内的羊群(问题一),可能因为数量过多且无法稽核等,战国策是以不变应万变,如未在第一时间告知客户发生该起事件等,至于其计划如何补强栅栏(问题二)等,只能说,战国策真的是保密到家,完全不对外透漏任何风声(问题三)。
问题一:未告知导致客户无法自防。
由于战国策未通知,客户对于公司名称、联络人姓名、身分证字号、电话、地址、电子邮件、交易方式、金额、主机方案,以及代管主机的IP地址、账号、密码、域名等信息都赤裸裸的暴露在因特网上可能浑然无所觉,更不用说有任何因应之道。
问题二:无后续因应之道恐导致业务销售成绩下滑。
截至今日,战国策仍未对外表明后续因应之道,如其将如何强化信息安全防护机制等,这除影响战国策在(虚拟)主机租赁服务市场的名声外,亦可能导致既有与潜在客户对战国策的信任感逐渐下降,以及思考是否该使用战国策的主机租赁服务。
问题三:委外服务市场恐因此受影响。
根据IDC与MIC等市调单位的报告,2009年,基于降低信息营运成本等考虑,委外、租赁或代管等服务极可能成为市场宠儿,但上述市场状况极可能在虚拟主机租赁服务业者─战国策爆发个人资料外泄事件而趋缓。可以想见,委外、租赁或代管业者会积极于向企业客户证明其的信息安全防护机制有多严谨,但,业者所提供的信息安全防护机制是否真为企业所需?又该由谁来稽核所言不假?
不只战国策,甚少有人清楚表示其是如何处理个人资料外泄事件。回顾2008年发生过的资料外泄事件─金石堂与诚品书局等书局传出会员个人资料外泄、6月国中基测31万考生资料遭窃、7月职训e网9万笔个人资料外泄等…现在,让我们一起来回想一下:有几个单位曾在事发后主动对外表示其计划如何「解决」上述问题,而非对外澄清该事件没想象中严重?
不公开绝对不是最佳信息安全防护方式。犹记,笔者在2年前因服务器虚拟化技术专题至战国策采访时,战国策技术部主任胡邦元即曾直接对笔者说:基于安全考虑,无法提供详细(或简易)的战国策内部信息系统架构示意图,在那个时间点,笔者认为他说的很对。
现在,我依旧觉得他的坚持没错,但只坚持不公开信息系统架构等可能有点不够,以这次的资料外泄事件来看,根据媒体报导,导致这起客户资料外泄事件的原因可能是战国策员工使用的浏览器安装了类似Google Toolbar的工具软件…我们或许可以这样说:为避免企业形象与业务营运绩效会受到资料外泄等事件的影响,企业除得循序部署合宜的信息安全防护系统架构外,还得确定相关人员(内部员工与外部合作伙伴)对信息安全防范有一定程度的了解;毕竟,无论信息安全系统如何健全、自动化,仍需“人员”操作相关系统。
除了部署健全的信息安全防御系统架构、适时的信息安全观念倡导外,当企业是否能以主动积极的态度与行动面对突发的信息安全事件:对外(客户)解说因应之道,以及对内(系统与人员)进行稽核与改善,亦极重要…当然,要做到上述动作,一开始一定会有不小的挑战(尤其在亚洲这种严守家丑不可外扬的地区),但上述这种从作中学的做法确实有助于企业精进信息安全防御机制,至少,企业新进信息人员可透过详尽的信息安全报告了解企业曾遭遇过哪些信息安全问题。
作者:蔡宜秀
来源:51CTO