主页 > F生活吧 >个资当废纸丢,你没「骇客」功力,却变成「害客」 >

个资当废纸丢,你没「骇客」功力,却变成「害客」


2020-06-15


个资当废纸丢,你没「骇客」功力,却变成「害客」

今年 3 月时传出,北市明星国中学生个资外洩、疯狂流传,由校方製作该学期需要高度关怀的学生名单,上面除了详记学生的班级、姓名、学号等资料外,更记载着学生的违规事项,甚至还有学生被列出有窃盗前科。哇!难不成骇客的手伸的这幺长,连国中小朋友的资料都不放过吗?

经过详细调查,原来不是骇客大人们的手笔 (谜之声:我们没有这幺没职业道德好吗?),而是一名行政人员竟然 将这些资料当废纸乱丢 ,上面详列校内 50 名需要辅导、或家有困境、甚至有前科等的学生资料,结果这份「废纸」辗转流传到学生手上疯狂流传,造成这起乌龙的个资资安事件,真的是千防万防,家贼难防呀。

各位评律的读者可别觉得讶异,其实这类不是因电脑系统遭入侵所导致的资讯或个资外流,而是因 人员疏忽而造成的漏洞 ,一直都是资安界最为严重的问题。

在骇客手法中还有一门专门的「社交工程学」( 详细说明 ),就是利用人性容易相信而上当或疏忽的弱点,避开了不容易破解的网路防火墙,选择容易跨越的人性防火墙,只应用了简单的沟通和欺骗技巧,便突破了企业的安全防护!君不见早期美国硅谷公司还会高价收购竞争对手的垃圾、回收纸,甚至碎纸,不就是希望从中发现一些些不小心外流的机密资讯?(谜之声:心机好重,可以去演 Hello 甄缳第二季了)

那幺,这类型的个资与资安问题要如何预防呢?

其实国内目前已经有 SGS、微软等企业所引进 BS10021、ISO27001 等国际认证标章,针对个资蒐集、利用、保存与资讯安全提供完整体检与修正建议的顾问服务。但是这些认证制度动则数十万元以上的导入经费,非一般中小企业或是个人工作室所能负担,那到底应如何保护个资又能自保呢?

小编跟各位简单介绍几个步骤:

1. 明订涉及个资之工作与资料範围:

首先应明确定义个资所会经手之人员、储存方式、资料类型与处理设备等,这个动作称为「个资盘点」,先找出企业中有可能发生个资外洩的地方。

2. 强化经手个资人员资安能力:

针对上述盘点结果,会经手个资的同仁,加强资安意识并定期进行训练,如密码的强度与经常变更、机敏资料的认定与销毁流程等等,让经手同仁们有能力去避免人为疏失导致的资安问题。

3. 建立合理个资保护、资安设备:

装了防火墙不一定能防住骇客,但是没装防火墙连小白都防不住!脚边那台碎纸机总不能碎出只要用胶带就完整贴回的「纸条」!所以合理的投资、购置设备依旧是保护资料不可或缺的一环。

以上三点只能说是最基本的资安手段提醒,仅供读者们作初步参考,离合格的标準都还有一段距离,后续还是得靠各位朋友持续加强安全措施、教育训练并随时将这个议题可能造成的危害 (请参考 资安囧很大:不可不知的资料外洩责任 ) 放在心上,别让自己成为「害客」,才是能确保资讯安全与个资保护长治久安的不二法门!

台北市敦化国中学生个资外洩新闻懒人包:

>> 明星国中乱扔名单,学生劣行外洩家长怒批
>>  学生个资外流,敦化国中校长出面道歉

(图片来源:kenteegardin, CC Licensed)



上一篇:
下一篇: