您的位置 主页 > U生活化 >你知道最新的企业与新世代资安未爆弹是什幺吗? >

你知道最新的企业与新世代资安未爆弹是什幺吗?

你知道最新的企业与新世代资安未爆弹是什幺吗?

如果你曾经在订阅网路服务或下载 Apps 时毫不犹豫地勾选点击同意隐私权选项,那你极可能已经穿着国王的新衣漫步在云端而不自知。台湾微软、台北商业大学及云端计算学会 14 日共同举办「你所不知的云端资讯安全」论坛,从四大面向探讨被民众与企业长期忽略的「被遗忘权」与「资料隐私权」衍生的资安议题。

这四大面相分别为:1. 从骇客攻击层面揭橥国际十大骇客攻击途径,深究剖析如何防範于未然;2. 从法规层面说明国际上关于「被遗忘权」、「资讯安全」与「隐私权」的规範,企业应以最新的 ISO27018 国际云端安全认证準则,来审视目前所使用的云端服务是否安全,政府也应加强宣导资讯安全及隐私权的重要性;3. 教育层面分析国内新世代对资讯安全及隐私权的认知及行为落差大,潜藏资安风险,倡导资安素养应从校园教育开始;4. 从企业层面呼吁云端服务供应商要自律,并通过 ISO27018 国际云端安全认证,建立可信赖的云端服务。希望藉由这几个层面的充分讨论与案例分析,唤起企业及个人对云端资讯安全及资料隐私的重视,避免陷入云端危机而不自知。

剖析十大国际骇客攻击手法

近年来国际骇客攻击事件推陈出新,常发生十大攻击途径与引发的资安危机包括:1. 当企业硬体设备运用云端连结进行资料储存时,可能遭遇机密资料失窃或被盗用的危险;2. 骇客入侵重要交通工具的网路系统,可能造成城市瘫痪;3. 智慧型穿戴系统密码更容易遭窃;4. 匿名或伪造身分在网路世界中游蕩,凸显企业或个人使用 Android 平台的风险; 5. 一个简单的 USB 就可以完全掌控使用者的电脑,提醒使用者留意 USB 病毒的威力; 6. 无线系统随时都可能成为骇客入侵的管道;7. 大规模的恶意攻击程式难以早期侦测预防;8. 信用卡公司的个人消费资料遭窃取做为非法使用;9. 网路硬碟如何窥窃个人的隐私;10. 医疗设备系统遭骇客攻击危及生命安全。

建构信任网路是社群当道的现今社会当务之急

随着社群网路的使用越来越普及,建立「信任网路」已经成为非常重要的课题,所谓的「信任网路」应包括「被通知权(Notification)」[1]、「知情同意权(Informed Consent)」[2]、「审核(Auditing)」[3]、「撤销权(Retraction)」[4]。 有鉴于此,台湾科技产业法务经理人协会秘书长、东吴大学教授余启民强调:「企业及民众需要藉由知悉建立信任网路,由信任着手应用,最终藉由信任网路的建立,创造大数据发展与隐私权保护之双赢。」

ISO27018 国际云端资讯安全认证五大準则,为云端资讯安全做更严密把关

现阶段针对资讯安全构面的技术与管理,虽已有详尽的国际化管理规範,例如:ISO27001,从硬体、软体,甚至管理者、使用者,到接触者,均有稽核时应注意的重点与要求,为资安提供基本防护架构,而 BS10012 则针对个人资料提供深度保护,而最新的 ISO27018 则针对云端服务供应商提出明确的同意权、资料透明度、资料控制权、资料可取回与删除权告知、即时沟通与独立稽核等相关的準则:

微软云端服务是全球第一家取得国际安全认证的云端服务供应商

Microsoft Azure、Office 365、Dynamics CRM Online及 Intune 等云端服务都已经将上述的準则加入并通过 ISO 27018 的国际云端隐私安全认证,且每项云端服务都已完成由第三单位进行的 ISO 27001 稽核验证。台湾微软法务暨公共事务处总经理施立成表示:「将 ISO27018 有关使用者对于资料控制权的国际认证準则加入所有的云端服务,并通过由第三公正单位进行的 ISO 27001稽核验证,是微软透过国际认证具体落实对于客户隐私权保护的最有效承诺,微软也是第一家敢对美国政府提起法律诉讼拒绝提供客户海外资料的云端服务供应商,微软将持续承诺在资料保护与建立可信赖的云端服务上投入更多的资源来确保客户的隐私不被侵犯与滥用。」

台湾新世代资安素养不足,未来投入就业市场恐成未爆弹

社团法人中华民国资讯社会推广协会理事,中国文化大学教育学系副教授陈信助针对全台 160 所大专院校学生,进行「云端环境资安与隐私权:使用者行为、观念与网路资讯素养调查」,由使用行为、反应、选择与习惯各面向进行 1,583 份的问卷调查。结果显示大专院校学生是云端的重度使用者,其中以社群工具(96%)、媒体播放软体(95%)、网路通讯软体(94%)、线上购物(81%)与线上游戏(77%)是大专院校学生热中的五大网路行为。但对于网路使用行为、习惯及资安与隐私权的基本观念,以及个资与隐私权可能外洩与不当利用之感知却相对不足(超过 58% 的使用者表示不清楚),甚至有 80% 的使用者承认曾经安装或使用过非正版软体。当中 66% 的使用者更因此曾经被绑架浏览器,高达 84% 的使用者表示曾经中毒或遭病毒威胁。陈信助副教授表示:「根据这份分析报告的数据可以看出目前台湾大学生这群网路高度使用族群,对于网路资安及自身隐私权的管理能力及素养明显不足,这些青年学子未来进入企业后将成为云端资安的未爆弹,教育部及大学应重视『资安素养』的养成。」

云端计算学会理事长, 国立台北商业大学校长张瑞雄指出:「目前国内的学者专家皆认为我们的云端科技已经走在全球的尖端,但是资讯安全不论是教育的养成或政府法律的保障却是大幅的落后,这方面确实造成很大的隐忧。建议政府及主管机关应该重视及稽查网路上散播的不实言论、言语霸凌及侵犯隐私等行为;应用软体供应商更有义务提醒使用者不要忽略自身行使『同意』或『不同意』的选择权。」

张瑞雄同时宣布,国立台北商业大学将与台湾微软合作,共同开设「云端资料安全与隐私」学程,让台北商业大学学生在学习云端科技的同时,也能够着重资讯安全与隐私的人文素养。学程预计开设 8 堂课,其中一半的课程会邀请台湾微软的业师担任,另外一半的课程则由台北商业大学的老师进行授课,期盼藉由与全球第一家通过 ISO27018 国际云端安全认证的微软合作,让学生能够从微软业师身上,感受到微软在资讯安全与隐私权的积极作为,提升学程的教学效果。

应重资安治理降低企业机密、个资及隐私外洩与被盗风险

台湾微软也针对国内中大型企业的法务主管进行资讯安全暨隐私权的访谈,接受访谈的产业型态包括软体研发、顾问服务、3C 硬体製造及半导体等,结果发现企业内部云端管理及政策落实上确实存在许多无形的隐忧,产学跨界合作也可能因资安与隐私权之认知差距而增加资料外洩的风险,甚至年轻世代(如大学生)对隐私权认知的不足也将造成未来进入企业职场衔接上的大问题。资料蒐集与情报应用的价值已被认可,但云端隐私权的规範目前以「且战且走」 的心态进行。

企业走向云端已经是不可逆的趋势,在大数据时代中,资讯的交换、分析和使用将更频繁,目前企业对于云端的规範及具体实施强度不一,中小企业甚至是连员工隐私都可能因为管理不当造成各式各样的问题,这都是台湾目前对于云端资安与隐私管理的挑战。施立成指出:「企业应该了解资讯是公司的无形宝贵资产,而资安治理即是对无形资产之保护,企业选用云端服务时,应选择通过国际云端安全认证的云端资讯平台,建立信任网络,提高资安及隐私的警觉,而云端服务供应商也应从自身的自律做起,为客户及消费者进行资安的把关。」唯有民众及企业及早对资安威胁有所警觉,做好自身的防护準备并确实了解与慎选云端服务供应商提供的隐私权选项,才能够安心地享受云端带来的便利。

[1]「被通知权(Notification)」:即能明确的知晓自己的数据在何时、何地、以何种方式会被採集。[2] 「知情同意权(Informed Consent)」: 即个人明确的知道数据将会被如何利用,并且必须经由本人同意。[3] 「审核(Auditing)」:主要是指政府法律机构负责审核。[4] 「撤销权(Retraction)」:即个人随时可以销毁自己的个人数据资产。」

  上一篇:   下一篇: