資安囧很大：人人都可以是”害客”！

Posted on 2013/03/21

本日驚傳，北市明星國中學生個資外洩、瘋狂流傳，由校方製作本學期需要高度關懷的學生名單，上面除了詳記學生的班級、姓名、學號等資料外，更記載著學生的違規事項，甚至還有學生被列出有竊盜前科；哇！難不成駭客的手伸的這麼長，連國中小朋友的資料都不放過嗎？

經過詳細調查原來不是駭客大人們的手筆(謎之聲：我們沒有這麼沒職業道德好嗎？)，而是一名行政人員竟然將這些資料當廢紙亂丟，上面詳列校內50名需要輔導或家有困境、甚至有前科等的學生資料，結果輾轉流傳到學生手上瘋狂流傳，造成這起烏龍的個資資安事件，真的是千防萬防家賊難防呀～

各位評律的讀者可別覺得訝異，其實這類不是因電腦系統遭入侵所導致的資訊或個資外流，而是因人員疏忽而造成的漏洞，一直都是資安界最為嚴重的問題，在駭客手法中還有一門專門的”社交工程學“(詳細說明)就是利用人性容易相信而上當或疏忽的弱點避開了不容易破解的網路防火牆，選擇容易跨越的人性防火牆，只應用了簡單的溝通和欺騙技巧，便突破了企業的安全防護！君不見早期美國矽谷公司還會高價收購競爭對手的垃圾、回收紙甚至碎紙，不就是希望從中發現一些些不小心外流的機密資訊？(謎之聲：心機好重，可以去演Hello甄繯第二季了)

那麼這類型的個資與資安問題要如何預防呢？其實國內目前已經有SGS、微軟等企業所引進BS10021、ISO27001等國際認證標章，針對個資蒐集、利用、保存與資訊安全提供完整體檢與修正建議的顧問服務，但是這些認證制度動則數十萬元以上的導入經費，又非一般中小企業或是個人工作室所能負擔，那到底應如何保護個資又能自保呢？小編跟各位簡單介紹幾個步驟：

1.明訂涉及個資之工作與資料範圍：首先應明確定義個資所會經手之人員、儲存方式、資料類型與處理設備等，這個動作稱為”個資盤點”，先找出企業中有可能發生個資外洩的地方。

2.強化經手個資人員資安能力：針對上述盤點結果，會經手個資的同仁，加強資安意識並定期進行訓練，如密碼的強度與經常變更、機敏資料的認定與銷燬流程等等，讓經手同仁們有能力去避免人為疏失導致的資安問題。

3.建立合理個資保護、資安設備：裝了防火牆不一定能防住駭客，但是沒裝防火牆連小白都防不住！腳邊那台碎紙機總不能碎出只要用膠帶就完整貼回的”紙條”！所以合理的投資、購置設備依舊是保護資料不可或缺的一環。

以上三點只能說是最基本的資安手段提醒，僅供讀者們作初步參考，離合格的標準都還有一段距離，後續還是得靠各位朋友持續加強安全措施、教育訓練並隨時將這個議題可能造成的危害(請參考資安囧很大：不可不知的資料外洩責任)放在心上，別讓自己成為”害客”，才是能確保資訊安全與個資保護長治久安的不二法門！

台北市敦化國中學生個資外洩新聞懶人包：

>> 明星國中亂扔名單，學生劣行外洩家長怒批
>> 學生個資外流，敦化國中校長出面道歉

==================================

本著作由評律網製作，以創用CC 姓名標示-非商業性-禁止改作 3.0 台灣 授權條款釋出。