不久前,全球知名的網路交易平台ebay遭受駭客攻擊,傳出1.45億筆會員個人資料及密碼外洩。隨著網路平台的成熟,電子商務、社群媒體的興盛,每每耳聞類似的資安事件,且傳出災情的不乏國際知名企業。如全美第三大零售商達吉特(Target)近億筆個資遭駭;全球軟體大廠Adobe近3,800萬筆會員資料遭駭;南韓銀行發生1億筆信用卡個資外洩事件;日本Sony遭駭客入侵盜取用戶個資逾億筆;台灣在幾年前曾頻傳電視、網路購物後資料外洩而造成民眾受詐騙案件;也曾發生某手機大廠因網站管理不當而使上百萬會員資料遭竊。
這些重大事故動輒影響上億人的權益,更影響企業長久來辛苦建立之聲譽。
對於企業經營者而言,如何避免類似的事件發生在自家企業當是首要之務。但看前述的案例,這些國際知名企業理應不乏資源與專業人才,為何難以避免遭受駭客攻擊?除了日新月異的資訊科技及與日俱增的資訊安全漏洞,使企業得花更大的力氣防微杜漸。
此外,當組織規模日益龐大、分工越趨精細,也提高了管理的難度,這也包含了資安風險管理。
多數企業皆已陸續建立資訊安全保護組織、檢視營運作業流程、強化人員教育訓練等機制,除了考量「組織」及「流程」外,「資訊科技」亦為完善個資保護所需考量之重要面向。然而,在考量資訊科技解決方案之導入時,企業往往僅強調安全相關防護解決方案,以為買了工具後,就能擁有一定程度的安全水準,殊不知這些所謂的解決方案仍需配合企業現況進行調整後,才能適用於組織的現況,以展現效果。
因此企業花了大錢,卻發現資訊安全解決方案愈買愈多,每一個似乎都有一定功能,整體看起來好像很有氣勢,但往往事件發生時卻總是不堪一擊。
從勤業眾信的觀點來看,企業應從風險管理觀點採取適當的解決方案,以保護組織的重要營運資訊。管理階層必須清楚組織內哪些資料、哪些資訊系統跟企業的營收關聯性最大,對企業哪些重要業務流程影響最深等,進而釐清前述營收與業務流程遭受攻擊的可能性,對企業內部進行整體的資安風險評估,瞭解可能的弱點,然後根據相關風險的高低,考量投入成本以及現有資訊科技防護能力,整體考量並規劃資安解決方案的需求,以在有限成本下,有效益地掌握受駭之風險。
此外,當企業採購相關資訊安全產品時,應將考量資安產品的使用人員與權責、使用時機、相關報表的可讀性、以及異常報告後的反應措施為何,將制度與工具的使用整合為一,才能使資安解決方案真正地融入企業的日常運作中,如此才能發揮工具的最大效用。
在完成上述準備後,企業就不會發生資安事件了嗎?世上是沒有百分之一百的安全;因此,企業應建立資訊安全的應變計畫,使人員知道事件發生時應如何進行初步判定與處理,通報適當主管與人員進行損害控制,有效與客戶或大眾溝通避免企業形象的受損,甚至通知數位鑑識團隊進駐協助調查,並在事件調查至一定程度後,請教相關律師可能的訴訟議題,並擬定訴訟策略。
從事前預防、事中應變、事後處理,以風險管理的思維完整規劃適合組織的作法,才能使企業在現今充滿威脅的大環境下,仍能穩健地營運下去。(作者是勤業眾信集團總裁)
