Equifax資料外洩事件的聯想:企業的資料保護政策與觀念/陳映竹
如果台灣的聯合信用卡處理中心被攻擊、或是資料被竊取,全台灣的金融交易和刷卡服務可能會崩盤,影響比先前的大停電還大;而今天就讀到了Equifax資料被駭的訊息。
[embed]https://medium.com/@smokingtuna/yingchu-90462750d3f3[/embed]
根據維基百科的資料,美國信用監測機構Equifax在7月29日時就發現資料被竊取,9月7日爆發了資料外洩事件;除了1.43億美國居民的資料外洩外,還有一些加拿大人、以及4400萬名英國居民的資料也遭到竊取。
被駭走的1.43億美國人民資料,包括姓名、出生日期、社會安全號碼等資訊;這些資料相當於一個人的「身份」被竊取,可以在被重組之後偽造。 巧合的是,在7月底、8月初訊息尚未爆發時,該公司的三位主管出售了手上的股份。
公司文化與治理
在本文最後的「參考閱讀」部分,筆者列出了一些相關報導;其中的第一則報導,就討論了公司治理的重要議題;在國內則有另一則報導,是關於員工個人行為導致企業聲譽受損:
黃男原與妻子任職GOMAJI夠麻吉,2014年9月跳槽康太。2015年7月,黃利用妻子的帳號密碼,數度登入夠麻吉後台系統進行網頁瀏覽。同月16日中午,黃 2 度下載夠麻吉「46699_LB銷售附件」及「46699_LB分店表」等電磁紀錄。
──〈竊對手營業祕密?團購網營運長遭訴〉
在筆者後續整理的一些資料裡,有許多「資料外洩」的事件都是個人行為導致,例如出於好奇心(醫院職員探究住院病人的資料)、警察藉由自己的職務之便替人查詢個人資料或通訊資料、公務人員藉由自己的職務之便查詢其他人的個人資料等等。
有朋友創立了一家公司、手上有一些客戶資料;或許是「私下共享文化」的關係,即使已經有「個人資料保護法」的規範,仍然會有人要求朋友私底下分享客戶名冊,以方便自己推廣業務。
這種行為令人搖頭。雖然有一部分基本資料是「公示資料」,但做生意還是得自己去努力取得名冊;至少向工會取得相關的公示資料,應該是沒問題的。但如果連這一點時間成本都不願意付出,就是一種莫名奇妙的行為。
保護資料,就是保護自己
朋友比較擔心的,是職員藉由其他管道出售名單。筆者只能請他加強員工這方面觀念的教育訓練;除了以技術方法避免員工出售客戶資料外,員工訓練和資料保護政策也都是必要的。先做好基礎訓練,讓員工知道洩漏資料會有什麼嚴重的後果,總比之後出事來得好。對於企業主來說,這也是保護自己的手段之一。
以一個網站或應用程式使用者的角度看資料保護政策(也是以往撰寫相關資料保護政策的經驗),最好能包括以下幾個方面:
保護的目的?
收集哪些資料?
資料的用途是做什麼?
資料保存期間有多久?
是否分享給其他第三方公司分析?如果現階段沒有,未來若提供給其他公司運用時,會不會通知使用者?
網站或應用程式的開發公司和維護單位,會使用哪種方式來保護我們的資料?在資料傳輸時怎麼加密?透過第三方還是其他方式?
公司除了技術方面的資料保護,還會對內部員工提供教育訓練之類的內容嗎?
如果網站或應用程式被攻擊時,要如何處理?受害者可以透過什麼途徑尋求協助?
使用者自己要負的責任與義務,例如個人帳號與密碼不外借等等。
當然確切的內容還是要由法務人員審閱定義,才不會讓公司權益遭受到嚴重損害;規範寫得愈清楚,愈能提高使用者對該服務的信心,當然也是保護公司的方法之一。
在資料外洩訊息被揭露之後,Equifax提供了一個叫做「網路安全事件與重要消費者資訊」(Cybersecurity Incident & Important Consumer Information)的網站,讓使用者檢查自己的資料是否已經被公開。
然而,該公司並沒有在第一時間(7月29日)就揭露訊息、其間該公司的主管又出售股份,而且這個網站本身安全性也不足;最離譜的是,要使用這個查詢網站還得先放棄對Equifax的訴訟權利:
Customers wanting to use the Equifax website to find if their data had been compromised at first had to agree to waive their rights to sue the company.
(希望使用Equifax網站來查詢自己資料是否外洩的顧客,首先必須放棄對該公司提起訴訟的權利。)
由於Equifax僅發佈了一份公開聲明稿、以及一個安全性不足的查詢網站,結果除了股價一直下滑之外,也面臨了嚴重的公關與信用危機。
為了比較,筆者再次閱讀了台灣聯合信用卡處理中心針對旗下網站所設置的「隱私權與資訊安全宣告」;其中寫道:
本網站的伺服器設有「防火牆」作保護,防止非法入侵、破壞或竊取資料,且本中心不斷監督本身的系統,以防遭任何人士未經授權的進入。
我們都知道聯合信用卡處理中心所持有的大眾個人資料一定不少,重點也不會只有這麼簡單的兩句話就帶過;然而以前面的9點原則來看,也無法得知該中心如何取得和保護公開資料,只能期待該中心的保護做得夠嚴格。
結語
在接下來的時代裡,透過網路進行攻擊、竊取客戶資料的案件只會愈來愈多,技術會愈來愈難以預防或防禦;所以,與個資相關的企業有義務提供詳盡的「隱私與資料保護政策」。
雖然不是每個人都有耐心讀完那些條文,但企業提供得愈清楚,就愈能提高消費者對公司或品牌的信心。除此之外,公關的應變能力、公司對外的態度和對內的政策,也都需要嚴謹面對;包括員工的資訊安全教育、以及資料保護政策與原則,都必須讓公司的員工對於「資料保護」有一定的概念。
雖然也不需要草木皆兵,但基本的公司管理後台網址、入口、個人帳號與密碼等資料,必須嚴防外洩是基本認知;最重要的是,保護資料不僅是保護顧客,也是企業和員工保護自己最好的方式。
參考閱讀
Three Equifax Managers Sold Stock Before Cyber Hack Revealed
Equifax hack: 44 million Britons’ personal details feared stolen in major US data breach
Equifax Hack — How To Protect Your Credit And Identity If Your Data Was Compromised
本文已獲作者授權並經本站重新編輯,未經書面許可禁止轉載。本站文章提供付費授權轉載或出版,請參閱授權說明、或來信 ask@tuna.to 洽詢。如果您喜歡這篇文章,請多按下方的「拍手」圖像幾次、或是分享到社群網站上!