近期發生多起企業個資外洩風波,部分企業甚是因此遭駭客恐嚇,對此 KPMG 安侯企管公司表示,駭客近期攻擊對象已從大型上市櫃企業轉戰中小企業,包括交通觀光、百貨零售及網路服務等,已成為駭客鎖定新目標。
KPMG 安侯企管公司董事總經理謝昀澤表示,過去駭客主要鎖定金融、製造和上市櫃大型企業,近期則迅速移轉到中小型企業上,包括交通觀光、百貨零售業、及網路服務等擁有消費者巨量個資的行業已成為駭客新目標。
而駭客在攻擊上的分工也有所轉變,上游由「網路狙擊手」先「代攻」竊取資料後,再交由中游的「數據販子」分批、分時於暗網中兜售,最後經「下游」的「取款車手」,以各種心理戰、媒體戰專業恐嚇企業交付贖金取款,並同時製造斷點,是近年最常見的模式。
謝昀澤說明,歸納企業受駭事件受駭者的特徵,大多都有「資料庫重要的欄位未加密」、「技術人員錯誤的安全設定」、「未能及時修補弱點」等;以近期零售業個資外洩來看,本該最被嚴加安全保護的資料庫,不僅丟失資料內容外,連資料庫系統的內部管理介面也暴露在外部網路,簡言之,企業整體網路架構與資料存取控制,形同被駭客接管。
根據謝昀澤觀察,台灣企業資安能力強弱懸殊,大致可分成:對資安敏感,有能力預先蒐集情報,並掌握產業鏈整體風險的「真知卓見組」,例如部分的半導體與金融業公司。
另一種則是誤認有裝防毒軟體、防火牆,就是完成資安的「自我感覺良好組」;甚至已被外部通報個資外洩,而不知所措,只會重新安裝系統的「資安神經麻痺組」。
謝昀澤提醒,未來駭客「柿子挑軟的吃」的趨勢將更顯著,部份把資安當作「選配」的企業,被入侵暴雷事件將更頻繁,這些企業會面臨「駭客霸凌」、「輿論炎上」、「商譽崩塌」的三重壓力。
KPMG 安侯企管公司執行副總林大馗建議,企業先由獨立第三方,針對資安體質與現況進行詳細的健檢,並盡速辨識並修補漏洞,其中對資安採高標準的企業,可參考 2022 年最新版國際資訊安全標準的技術控制措施,透過如資料庫加密機制,讓駭客鋌而走險得手的資料喪失利用價值。
另外,企業也可透過較積極的資料外洩防護技術 (DLP) 措施,來管制員工資料存取與轉送的行為。
林大馗強調,現代化的企業要把資安視為「標準配備」,更要重視基本功,優先針對員工安全意識、資訊人員技術能力、資安政策與管理流程等多方面,積極進行補強。