你知道最新的企業與新世代資安未爆彈是什麼嗎?

作者 | 發布日期 2015 年 05 月 14 日 16:10 | 分類 Microsoft , 市場動態 , 網路 follow us in feedly

如果你曾經在訂閱網路服務或下載 Apps 時毫不猶豫地勾選點擊同意隱私權選項,那你極可能已經穿著國王的新衣漫步在雲端而不自知。台灣微軟、台北商業大學及雲端計算學會 14 日共同舉辦「你所不知的雲端資訊安全」論壇,從四大面向探討被民眾與企業長期忽略的「被遺忘權」與「資料隱私權」衍生的資安議題。



這四大面相分別為:1. 從駭客攻擊層面揭櫫國際十大駭客攻擊途徑,深究剖析如何防範於未然;2. 從法規層面說明國際上關於「被遺忘權」、「資訊安全」與「隱私權」的規範,企業應以最新的 ISO27018 國際雲端安全認證準則,來審視目前所使用的雲端服務是否安全,政府也應加強宣導資訊安全及隱私權的重要性;3. 教育層面分析國內新世代對資訊安全及隱私權的認知及行為落差大,潛藏資安風險,倡導資安素養應從校園教育開始;4. 從企業層面呼籲雲端服務供應商要自律,並通過 ISO27018 國際雲端安全認證,建立可信賴的雲端服務。希望藉由這幾個層面的充分討論與案例分析,喚起企業及個人對雲端資訊安全及資料隱私的重視,避免陷入雲端危機而不自知。

 

剖析十大國際駭客攻擊手法

近年來國際駭客攻擊事件推陳出新,常發生十大攻擊途徑與引發的資安危機包括:1. 當企業硬體設備運用雲端連結進行資料儲存時,可能遭遇機密資料失竊或被盜用的危險;2. 駭客入侵重要交通工具的網路系統,可能造成城市癱瘓;3. 智慧型穿戴系統密碼更容易遭竊;4. 匿名或偽造身分在網路世界中遊蕩,凸顯企業或個人使用 Android 平台的風險; 5. 一個簡單的 USB 就可以完全掌控使用者的電腦,提醒使用者留意 USB 病毒的威力; 6. 無線系統隨時都可能成為駭客入侵的管道;7. 大規模的惡意攻擊程式難以早期偵測預防;8. 信用卡公司的個人消費資料遭竊取做為非法使用;9. 網路硬碟如何窺竊個人的隱私;10. 醫療設備系統遭駭客攻擊危及生命安全。

 

建構信任網路是社群當道的現今社會當務之急

隨著社群網路的使用越來越普及,建立「信任網路」已經成為非常重要的課題,所謂的「信任網路」應包括「被通知權(Notification)」[1]、「知情同意權(Informed Consent)」[2]、「審核(Auditing)」[3]、「撤銷權(Retraction)」[4]。 有鑑於此,台灣科技產業法務經理人協會秘書長、東吳大學教授余啟民強調:「企業及民眾需要藉由知悉建立信任網路,由信任著手應用,最終藉由信任網路的建立,創造大數據發展與隱私權保護之雙贏。」

 

ISO27018 國際雲端資訊安全認證五大準則,為雲端資訊安全做更嚴密把關

現階段針對資訊安全構面的技術與管理,雖已有詳盡的國際化管理規範,例如:ISO27001,從硬體、軟體,甚至管理者、使用者,到接觸者,均有稽核時應注意的重點與要求,為資安提供基本防護架構,而 BS10012 則針對個人資料提供深度保護,而最新的 ISO27018 則針對雲端服務供應商提出明確的同意權、資料透明度、資料控制權、資料可取回與刪除權告知、即時溝通與獨立稽核等相關的準則:

  • 明確的同意權:除非取得明確的使用者同意,否則不能使用客戶資料進行廣告或行銷用途。
  • 資料透明度:必須清楚告知客戶資料儲存在何處以及如何管理這些資料。
  • 資料控制權:必須提供客戶可以自由管理及控制自己資料的權限。
  • 資料可取回與刪除權告知:必須通知客戶可以隨時取回及刪除客戶自身資料的相關政策。
  • 即時溝通:必須即時與客戶溝通可能對個資保護產生風險的相關事件與應對之道。
  • 獨立稽核:必須委請第三方獨立公正稽核單位對雲端服務供應商的合規性進行年度稽查考核。

 

微軟雲端服務是全球第一家取得國際安全認證的雲端服務供應商

Microsoft Azure、Office 365、Dynamics CRM Online及 Intune 等雲端服務都已經將上述的準則加入並通過 ISO 27018 的國際雲端隱私安全認證,且每項雲端服務都已完成由第三單位進行的 ISO 27001 稽核驗證。台灣微軟法務暨公共事務處總經理施立成表示:「將 ISO27018 有關使用者對於資料控制權的國際認證準則加入所有的雲端服務,並通過由第三公正單位進行的 ISO 27001稽核驗證,是微軟透過國際認證具體落實對於客戶隱私權保護的最有效承諾,微軟也是第一家敢對美國政府提起法律訴訟拒絕提供客戶海外資料的雲端服務供應商,微軟將持續承諾在資料保護與建立可信賴的雲端服務上投入更多的資源來確保客戶的隱私不被侵犯與濫用。」

 

台灣新世代資安素養不足,未來投入就業市場恐成未爆彈

社團法人中華民國資訊社會推廣協會理事,中國文化大學教育學系副教授陳信助針對全台 160 所大專院校學生,進行「雲端環境資安與隱私權:使用者行為、觀念與網路資訊素養調查」,由使用行為、反應、選擇與習慣各面向進行 1,583 份的問卷調查。結果顯示大專院校學生是雲端的重度使用者,其中以社群工具(96%)、媒體播放軟體(95%)、網路通訊軟體(94%)、線上購物(81%)與線上遊戲(77%)是大專院校學生熱中的五大網路行為。但對於網路使用行為、習慣及資安與隱私權的基本觀念,以及個資與隱私權可能外洩與不當利用之感知卻相對不足(超過 58% 的使用者表示不清楚),甚至有 80% 的使用者承認曾經安裝或使用過非正版軟體。當中 66% 的使用者更因此曾經被綁架瀏覽器,高達 84% 的使用者表示曾經中毒或遭病毒威脅。陳信助副教授表示:「根據這份分析報告的數據可以看出目前台灣大學生這群網路高度使用族群,對於網路資安及自身隱私權的管理能力及素養明顯不足,這些青年學子未來進入企業後將成為雲端資安的未爆彈,教育部及大學應重視『資安素養』的養成。」

雲端計算學會理事長, 國立台北商業大學校長張瑞雄指出:「目前國內的學者專家皆認為我們的雲端科技已經走在全球的尖端,但是資訊安全不論是教育的養成或政府法律的保障卻是大幅的落後,這方面確實造成很大的隱憂。建議政府及主管機關應該重視及稽查網路上散播的不實言論、言語霸凌及侵犯隱私等行為;應用軟體供應商更有義務提醒使用者不要忽略自身行使『同意』或『不同意』的選擇權。」

張瑞雄同時宣布,國立台北商業大學將與台灣微軟合作,共同開設「雲端資料安全與隱私」學程,讓台北商業大學學生在學習雲端科技的同時,也能夠著重資訊安全與隱私的人文素養。學程預計開設 8 堂課,其中一半的課程會邀請台灣微軟的業師擔任,另外一半的課程則由台北商業大學的老師進行授課,期盼藉由與全球第一家通過 ISO27018 國際雲端安全認證的微軟合作,讓學生能夠從微軟業師身上,感受到微軟在資訊安全與隱私權的積極作為,提升學程的教學效果。

 

應重資安治理降低企業機密、個資及隱私外洩與被盜風險

台灣微軟也針對國內中大型企業的法務主管進行資訊安全暨隱私權的訪談,接受訪談的產業型態包括軟體研發、顧問服務、3C 硬體製造及半導體等,結果發現企業內部雲端管理及政策落實上確實存在許多無形的隱憂,產學跨界合作也可能因資安與隱私權之認知差距而增加資料外洩的風險,甚至年輕世代(如大學生)對隱私權認知的不足也將造成未來進入企業職場銜接上的大問題。資料蒐集與情報應用的價值已被認可,但雲端隱私權的規範目前以「且戰且走」 的心態進行。

企業走向雲端已經是不可逆的趨勢,在大數據時代中,資訊的交換、分析和使用將更頻繁,目前企業對於雲端的規範及具體實施強度不一,中小企業甚至是連員工隱私都可能因為管理不當造成各式各樣的問題,這都是台灣目前對於雲端資安與隱私管理的挑戰。施立成指出:「企業應該了解資訊是公司的無形寶貴資產,而資安治理即是對無形資產之保護,企業選用雲端服務時,應選擇通過國際雲端安全認證的雲端資訊平台,建立信任網絡,提高資安及隱私的警覺,而雲端服務供應商也應從自身的自律做起,為客戶及消費者進行資安的把關。」唯有民眾及企業及早對資安威脅有所警覺,做好自身的防護準備並確實了解與慎選雲端服務供應商提供的隱私權選項,才能夠安心地享受雲端帶來的便利。

[1]「被通知權(Notification)」:即能明確的知曉自己的數據在何時、何地、以何種方式會被採集。
[2] 「知情同意權(Informed Consent)」: 即個人明確的知道數據將會被如何利用,並且必須經由本人同意。
[3] 「審核(Auditing)」:主要是指政府法律機構負責審核。
[4] 「撤銷權(Retraction)」:即個人隨時可以銷毀自己的個人數據資產。」
關鍵字: , ,

發表迴響