◎朱祥中
世界經濟論壇1月發布《2021年全球風險報告》指出,去年報告中最可能發生風險之「資料詐欺與竊取(第6名)」和「網路攻擊(第7名)」,今年一併納入「網路安全缺失(cybersecurity failure)」,並預測2年內將成為世界重大威脅,排名緊追傳染病、生活危機及極端氣候等風險,位居第4名;並表示,新型冠狀病毒肺炎疫情不僅奪去數百萬人的生命,還增加健康、經濟及網路資訊等長期存在的差距,使減少貧窮及不平等的進展倒退數年,且進一步削弱社會和諧及全球合作,顯示人類長期忽視風險及應對舉措的嚴重影響。
因此,多國政府在對抗疫情時,所蒐集與保護確診患者資料,與運用相關應用程式及資料庫作為,若缺乏周延防護,便可能衍生風險。如巴西去年11月發生1600萬名確診患者姓名、身分證、地址及病歷等資料外流的大型個資外洩事件,包括總統及政府高層資料,亦在內。復於今年1月19日爆發1.04億筆車輛和4千萬家企業詳細訊息外洩,潛在受影響人數約2.2億,巴西總人口約2.1億,幾乎所有民眾的資料都受危害(包含旅外國民及逝世民眾)。2月9日,Google與史丹佛大學合作研究指出,去年疫情高峰時,每日與新冠病毒相關的有害電子郵件約1800萬封;而曾遭資料外洩者,被網路釣魚攻擊鎖定的機率,是資料未曾外洩者的5倍,也許可藉此猜測巴西資料外洩危機接續發生之緣由,但個人資料遭竊,除可能有身分遭盜用問題,還會影響國家安全,以及外洩公司智財權等其他危害。
輕忽隱私保護 影響國安甚鉅
國內知名資訊網站iThome表示,2018年遭駭個資約45億筆,上半年有33.5億筆,其中約3/4來自社群網站,臉書占22億筆、推特3.4億筆,較2017年同期大幅增加2.3倍;下半年,萬豪國際旗下子集團喜達屋酒店,則被駭約5億筆房客資料。2019年上半年則有超過40億筆資料被揭露,較2018年同期增加54%。我國銓敘部也於當年6月底證實,超過24萬名公務員個資外洩,起因為國外網站揭露該單位所持59萬筆資料,是2005年迄2012年6月底,中央與地方機關送審的公務人員資料,包含身分證字號、姓名、服務機關、職務編號及職稱等,後續竟發覺這些資料疑似在大陸多個論壇流傳,並在LINE群組上轉載,內容不僅被整理,還特別標示國安局與情治人員真實身分,嚴重影響我國家安全。由於個資在暗網喊價攀升,顯示欲濫用資料犯罪之需求提高,導致販售個資牟利者,更加積極。
駭客獲取個資或接續從事網路釣魚得手後,進入受害者任職公司,執行各項攻擊之成功機率大增;儘管業者或個人有備份習慣,駭客仍可威脅披露受害者智財權、隱私資訊或破壞設備,配合心理攻勢獲得贖金。IBM Security《2020年資料外洩成本報告》指出,資料外洩事件對企業平均需支出的成本為386萬美元,其中,員工帳戶遭受攻擊的成本最為昂貴,每次資料外洩成本高達477萬美元,因此對於個資保護,不可不慎。
響應國際社會 戮力隱私保護
《聯合國憲章》對國際經濟與社會合作,於第9章揭示,為造成國際間以尊重人民平等權利及自決原則為根據之和平友好關係所必要之安定及福利條件起見,聯合國需促進全體人類之人權及基本自由之普遍尊重與遵守,不分種族、性別、語言或宗教,各會員國也應採取共同及個別行動,與聯合國合作戮力達成此一要求。
因此,1981年1月,歐洲理事會簽署資料保護公約,置重點於「改善使用新通訊技術而產生的隱私問題」,並於2006年將這天定為「資料保護日」,美國、加拿大及以色列等國家,後續響應定為「國際資料隱私日」,以加強國際合作,鼓勵各國政府提高大眾對隱私保護的關注度,教育民眾如何在日常連網生活中,保護個資,增強個人保護網路安全及隱私保護能力,鼓勵企業尊重隱私、保護資料,並建立可信賴氛圍。
歐盟為提升個資保護規範密度,建立境內一體適用之管理規範,於2016年5月通過《一般資料保護規則》,並自2018年5月全面施行。2018年,美國加州通過《加州消費者隱私保護法》,為美國各州首部一般性之個人資料保護法,並於2020年元旦施行,保護資訊涵蓋社會安全碼、生理資訊、聯絡資料、基因、位置、帳戶、學歷、購買紀錄、網路或裝置識別碼、網路搜尋瀏覽及其他活動紀錄等;之後依此法擴大制定《加州隱私權法》,於當年11月通過,將於2023年元旦生效,以保護於2022年1月1日起收集的個資,並依法成立「隱私保護局」為執法單位。
我國2012年施行《個人資料保護法》,2018年7月4日成立「個人資料保護專案辦公室」,以釐清對蒐集個資應注意之規範,並臚列中央及地方政府行政監督之權責及保密義務,以落實保護自然人之姓名、出生年月日、身分證、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
同時考量網路攻擊對隱私之危害,於2017年訂定《資通安全管理法》,自2019年元旦施行,將資訊安全規範對象,從公務機關擴大至特定非公務機關,要求非公務機關須提出「資通安全維護計畫」及導入資訊安全系統,主動通報資訊外洩或有損害資安之情事,並分享相關資訊,以即時處理危機,降低損害減少風險。
資通安全處去年11月發布《國家資通安全發展方案(110年至113年)》草案時指出,全球資安風險有「個人資料與憑證外洩攻擊白熱化」、「勒索軟體攻擊風險激增」、「APT鎖定式攻擊竊取機密資料」、「資安(訊)供應商持續遭駭破壞供應鏈安全」、「關鍵資訊基礎設施資安風險倍增」等6大威脅趨勢;而個人資料外洩或遭竊,均會導致上述風險轉變成危機,甚至擴大、提升危機領域與規模,故將「提升民間防護能量,維護公眾隱私安全」做為推動策略之一,從政府落實資安相關法規及標準,企業提升資安防護及產品競爭力,社群個人則須提供安全智慧聯網之環境與軟硬體等3方面著手。
結語
面對嚴峻的網路安全情勢及數位科技多重挑戰,我國已持續提高戰略思維,並透過完善資安策略,長遠擘劃資訊、資安、電信、網路、傳播等相關領域的整合,主動成立國際資安工作小組,成員包括台積電、日月光、趨勢科技等,共同撰擬SEMI國際資安標準草案,以聯結各友好國家共同分享國際資安發展情勢,確保我國資安能量與國際趨勢同步,以發揮國家數位科技實力,提升各種危機處理應變,同時維持經濟競爭力,確保國家永續經營。
(作者為國防大學戰爭學院教官)
