:::
2021/09/10 

全民國防

【全民國防】慎防個資外洩 杜情蒐固國安
 5G高速網路時代來臨,提高資安警覺確保隱私,方能避免資訊外洩造成危害。(本報資料照片)

◎朱祥中

 個資洩漏,除社群媒體、通訊及金融業者的疏失,也有可能因個人在網路空間的行為失慎,除造成個人生活的不便,更可能肇生公司業務的賠償,衍生國家關鍵基礎設施的危害,大型跨國科技公司藉提供免費服務,讓用戶獲得便利之際,也讓用戶輕忽保護個資,如免費手機軟體、測驗遊戲等App,到蘋果的Siri、亞馬遜、臉書及谷歌的免費服務,皆運用各種理由,蒐集使用者的隱私、興趣、人際圖譜、活動範圍等,我們瀏覽過的資訊、網站、圖片及使用的App,都在網路或個人行動裝置上留下「數位足跡」,是業者用以釐清使用者的資訊;但資料使用最後,是否超出原先協定的運用範圍,使用者通常未深入關心。本文蒐整具可行性、簡單上手之防範作法,供民眾參考,讓同袍盡舉手之勞,鞏固自己與國家的安全。

 個資洩漏途徑多 謹防減損失

 今年2月13日,《泰晤士報》揭露一名英國退役上校在「領英」(LinkedIn)表示,擅長網路情報,並具備化學、生物、輻射和核武器等專業知識,中共試圖誘騙赴中國大陸,所幸該員警覺。中共過去5年持續透過社交網站,招募英國能接觸機密或商業敏感技術(如國防設備)的私人企業人員,或現職、退役的公務員,特別是具高級安全許可者。新冠病毒疫情讓居家辦公機會增加,更提升人員在網路上受到敵國間諜接近的機會。4月初,也傳出5.33億筆臉書個資在網路販售,受害者橫跨106國。我國5月隨著本土疫情升溫,刑事警察局2週內接獲民眾反映,假疫調之名騙取個資案件約130餘件,同時因全國民眾配合實聯制,竟有不法人士藉此詐取個資及錢財。

 我國《個人資料保護法》範圍雖廣泛,但曾有研究運用AI於既有匿名資料庫從事實驗,發現只要蒐集某人15種人口屬性資訊,於任何匿名化資料庫辨識該員的機率高達99.98%;研究也表示,若只運用郵遞區號、性別與生日等3種屬性,在匿名資料庫找到此人的機率亦達81%,AI還可依此推測其他未提供的資訊。因此,保管個資除硬體與軟體的防護,更有賴使用者對洩漏個資的警覺,以下列舉幾個面向:

 一、審慎使用社群軟體 保持低調

 許多人離開情報部門後,會於「領英」註明經歷,甚至一併顯示他們仍保有政府的查核許可,以致成為中共積極接觸目標;因中共為廣蒐有利情資,鎖定各國民間企業和國安機關,故使用社群軟體應盡量保持低調。

 一般民眾亦須避免曝露過多隱私,如朋友名單、生活照、打卡、有效證件的照片、信用卡照片、寵物名、電話、地址、求學及工作經歷,減少個資洩漏,或密碼提示問題遭破解,甚至解開密碼。登入帳號時,不用同一密碼進入多個網站,使用兩步驟驗證(2SV)取代密碼登入較佳;若使用密碼管理器,須不定時更換安全性高的主密碼,但仍要謹慎使用瀏覽器外掛程式和擴充套件,且防範釣魚攻擊。而打卡、生活照可讓人掌握您的習性或生活動態,這有利從事社交工程或闖空門的犯罪。有效證件的照片配合其他透露訊息,恐導致「身分盜竊」,而引發災難性問題。

 某些人會分享信用卡照片,若有必要張貼,建議所有數字須予以遮蔽或後製。總之,社群媒體會透漏很多隱私,照片建議使用翻拍或螢幕截圖後,再張貼;取景時,應避免生活圈附近及展現可供竊取的個人資訊及生物識別特徵,勿以為框限攝影範圍即可,我們可能在無意間遭反光物品出賣,例如瞳孔、眼鏡、手錶、窗戶等;科技雖仍未能直接取用照片上的指紋、掌紋破解密,但已提出理論且供檢證,須小心防範。

 二、防惡意竊取個資 確保硬體安全

 手機或電腦完善資料備份,開機密碼與流程的安全性強度需足夠,且不定時更換密碼,避免使用規則性密碼,如個資與感情狀態。若採中文輸入法轉換,奧義科技的軟體架構師楊政霖表示,駭客取得教育部公布的4808個常用字列表,搭配可能組合,反而更快破解,強密碼建議具15個字元以上,並由幾個不相干的名詞或數字組成等。不使用公共充電器及其他連接裝置,也盡量不要選用店家或公共領域的WiFi;常關閉藍牙、GPS、WiFi及熱點分享等選項;平時將鏡頭與麥克風關閉,並以膠帶封住;時時更新防毒程式與作業軟體,但須注意防毒軟體因權限較高,易遭駭客以其漏洞攻擊用戶。

 三、提高資安警覺 慎防個資詐騙

 因智慧型手機App的便利,讓公務部門、企業、民眾,均透過網路辦理各項事務,也讓個資留存各網站資料庫。除安裝防毒軟體,習慣清除網路瀏覽資訊,避免留存個資於聯網裝置外,尚須選用符合「臺灣資通產業標準協會」所公布的「智慧型手機系統內建軟體資安標準」,及「智慧型手機系統內建軟體資安測試規範」之手機,以免手機內建惡意軟體,啟用手機或存取資料,回傳至手機製造商、服務供應商、第三方。注意不明聯絡對象、交易商家、網路問卷等,以免點選惡意連結。

 疫情期間,張貼實聯制QR Code商家應不定期檢查,以免遭有心人士更換;民眾傳送簡訊前,也應檢查接收人是否為「1922」。若遇簡訊、電子郵件或偽冒(陌生)帳號傳訊,疑似網路釣魚手法,可將簡訊短網址轉貼LINE「防詐達人」查驗,若連接銀行、保險或郵局等機關行號登入頁,民眾隨意輸入帳號密碼,卻可通過,就是假的。若遇這些惡意行為,建請截取「螢幕截圖」,以警告親朋好友,並回報「165反詐騙諮詢專線」,同時不再轉傳。

 四、反情報作為保護個資

 因為網路訊息量廣大,有心挖礦的公司通常運用AI執行,在符合法律條件下,可於網路釋放「個人資料的假資訊」保護自己。例如點選一些沒有興趣的圖像、影片、網站、餐廳、影評、書籍、藝人、程式,甚至給予高評價;宣稱你同時對不同陣營的政治人物都有投票意願,偶爾登入帳號使用搜尋引擎,尋找自己根本不會去的國家、景點、書籍,或是某地的旅行手冊,甚至進一步比較各式交通票價。

 結語

 迎接5G時代到來,未來物聯網將深入你我生活,但同時也開啟安全的罅隙。國防部有鑒於安全威脅與戰爭型態的改變,指導軍事情報局、電訊發展室、軍事安全總隊、政治作戰局、憲兵指揮部、參謀本部資通電軍指揮部等單位,持續深化網路領域能力。網路除提供便利,和實體生活無異,更充斥敵國惡意行為、恐怖主義攻擊、犯罪態樣威脅及使用者無心肇生的意外災害,也會影響我們實際所處的國家及生活。人人需具備資安意識與習性,才能共同建構自由發言、無障礙交流、無網絡跟踪的資訊時代與智慧國家。

(作者為國防大學戰爭學院教官)

:::

PDF電子報紙