【評律網專欄】個資當廢紙丟,你沒「駭客」功力,卻變成「害客」

今年 3 月時傳出,北市明星國中學生個資外洩、瘋狂流傳,由校方製作該學期需要高度關懷的學生名單,上面除了詳記學生的班級、姓名、學號等資料外,更記載著學生的違規事項,甚至還有學生被列出有竊盜前科。哇!難不成駭客的手伸的這麼長,連國中小朋友的資料都不放過嗎?

經過詳細調查,原來不是駭客大人們的手筆 (謎之聲:我們沒有這麼沒職業道德好嗎?),而是一名行政人員竟然將這些資料當廢紙亂丟,上面詳列校內 50 名需要輔導、或家有困境、甚至有前科等的學生資料,結果這份「廢紙」輾轉流傳到學生手上瘋狂流傳,造成這起烏龍的個資資安事件,真的是千防萬防,家賊難防呀。

各位評律的讀者可別覺得訝異,其實這類不是因電腦系統遭入侵所導致的資訊或個資外流,而是因人員疏忽而造成的漏洞,一直都是資安界最為嚴重的問題。

在駭客手法中還有一門專門的「社交工程學」(詳細說明),就是利用人性容易相信而上當或疏忽的弱點,避開了不容易破解的網路防火牆,選擇容易跨越的人性防火牆,只應用了簡單的溝通和欺騙技巧,便突破了企業的安全防護!君不見早期美國矽谷公司還會高價收購競爭對手的垃圾、回收紙,甚至碎紙,不就是希望從中發現一些些不小心外流的機密資訊?(謎之聲:心機好重,可以去演 Hello 甄繯第二季了)

  • 那麼,這類型的個資與資安問題要如何預防呢?

其實國內目前已經有 SGS、微軟等企業所引進 BS10021、ISO27001 等國際認證標章,針對個資蒐集、利用、保存與資訊安全提供完整體檢與修正建議的顧問服務。但是這些認證制度動則數十萬元以上的導入經費,非一般中小企業或是個人工作室所能負擔,那到底應如何保護個資又能自保呢?

小編跟各位簡單介紹幾個步驟:

1. 明訂涉及個資之工作與資料範圍:

首先應明確定義個資所會經手之人員、儲存方式、資料類型與處理設備等,這個動作稱為「個資盤點」,先找出企業中有可能發生個資外洩的地方。

2. 強化經手個資人員資安能力:

針對上述盤點結果,會經手個資的同仁,加強資安意識並定期進行訓練,如密碼的強度與經常變更、機敏資料的認定與銷毀流程等等,讓經手同仁們有能力去避免人為疏失導致的資安問題。

3. 建立合理個資保護、資安設備:

裝了防火牆不一定能防住駭客,但是沒裝防火牆連小白都防不住!腳邊那台碎紙機總不能碎出只要用膠帶就完整貼回的「紙條」!所以合理的投資、購置設備依舊是保護資料不可或缺的一環。

以上三點只能說是最基本的資安手段提醒,僅供讀者們作初步參考,離合格的標準都還有一段距離,後續還是得靠各位朋友持續加強安全措施、教育訓練並隨時將這個議題可能造成的危害 (請參考資安囧很大:不可不知的資料外洩責任) 放在心上,別讓自己成為「害客」,才是能確保資訊安全與個資保護長治久安的不二法門!

台北市敦化國中學生個資外洩新聞懶人包:

>> 明星國中亂扔名單,學生劣行外洩家長怒批
>> 學生個資外流,敦化國中校長出面道歉

知識就是力量,在尋找律師時,資訊是否充分、透明,往往就決定了結果。評律網透過各項數據分析,在您需要法律服務時,提供一個客觀且科學的指標;同時還給您許多有趣、有用的法律知識與新知,讓您學習如何保護自己的權益唷!

(圖片來源:kenteegardin, CC Licensed)