[戰國策事件]為何資料外洩事件像極了不可解的X檔案？

13則回應

為何個資外洩事件像極了不可解的X檔案？讓我們一起從2009年第一條震驚產業界的資料外洩事件談起：戰國策外洩4,270筆客戶訂單資料。

戰國策外洩客戶訂單等資料一事發生至今，僅戰國策的客戶、其他主機代管業者以及資安專家先後針對該事件表示看法，如戰國策客戶不滿戰國策無主動告知該事件，以及資安業者呼籲戰國策客戶以更換密碼等方式避免惡意份子竄改其資料等；反觀戰國策，其除要求Google移除相關資料，以及對外表示正在追查促發該事件發生的原因外，無其他解釋。

戰國策對該起資料外洩事件的做法是─不大積極的亡羊補牢。發現資料外洩狀況後，戰國策除趕緊請Google移除相關資訊（先補牆防止發生更多問題）外，對於那些可能恐已被狼群（駭客等惡意份子）刁走的亡羊、或者是還在柵欄內的羊群（問題一），可能因為數量過多且無法稽核等，戰國策是以不變應萬變，如未在第一時間告知客戶發生該起事件等，至於其計劃如何補強柵欄（問題二）等，只能說，戰國策真的是保密到家，完全不對外透漏任何風聲（問題三）。

問題一：未告知導致客戶無法自防。
由於戰國策未通知，客戶對於公司名稱、聯絡人姓名、身分證字號、電話、地址、電子郵件、交易方式、金額、主機方案，以及代管主機的IP位址、帳號、密碼、網域名稱等資訊都赤裸裸的暴露在網際網路上可能渾然無所覺，更不用說有任何因應之道。

問題二：無後續因應之道恐導致業務銷售成績下滑。
截至今日，戰國策仍未對外表明後續因應之道，如其將如何強化資安防護機制等，這除影響戰國策在（虛擬）主機租賃服務市場的名聲外，亦可能導致既有與潛在客戶對戰國策的信任感逐漸下降，以及思考是否該使用戰國策的主機租賃服務。

問題三：委外服務市場恐因此受影響。
根據IDC與MIC等市調單位的報告，2009年，基於降低資訊營運成本等考量，委外、租賃或代管等服務極可能成為市場寵兒，但上述市場狀況極可能在虛擬主機租賃服務業者─戰國策爆發個資外洩事件而趨緩。可以想見，委外、租賃或代管業者會積極於向企業客戶證明其的資安防護機制有多嚴謹，但，業者所提供的資安防護機制是否真為企業所需？又該由誰來稽核所言不假？

不只戰國策，甚少有人清楚表示其是如何處理個資外洩事件。回顧2008年發生過的資料外洩事件─金石堂與誠品書局等書局傳出會員個資外洩、6月國中基測31萬考生資料遭竊、7月職訓e網9萬筆個資外洩等…現在，讓我們一起來回想一下：有幾個單位曾在事發後主動對外表示其計劃如何「解決」上述問題，而非對外澄清該事件沒想像中嚴重？

不公開絕對不是最佳資訊安全防護方式。猶記，筆者在2年前因伺服器虛擬化技術專題至戰國策採訪時，戰國策技術部主任胡邦元即曾直接對筆者說：基於安全考量，無法提供詳細（或簡易）的戰國策內部資訊系統架構示意圖，在那個時間點，筆者認為他說的很對。

現在，我依舊覺得他的堅持沒錯，但只堅持不公開資訊系統架構等可能有點不夠，以這次的資料外洩事件來看，根據媒體報導，導致這起客戶資料外洩事件的原因可能是戰國策員工使用的瀏覽器安裝了類似Google Toolbar的工具軟體…我們或許可以這樣說：為避免企業形象與業務營運績效會受到資料外洩等事件的影響，企業除得循序部署合宜的資安防護系統架構外，還得確定相關人員（內部員工與外部合作夥伴）對資安防範有一定程度的了解；畢竟，無論資安系統如何健全、自動化，仍需「人員」操作相關系統。

除了部署健全的資安防禦系統架構、適時的資安觀念宣導外，當企業是否能以主動積極的態度與行動面對突發的資安事件：對外（客戶）解說因應之道，以及對內（系統與人員）進行稽核與改善，亦極重要…當然，要做到上述動作，一開始一定會有不小的挑戰（尤其在亞洲這種嚴守家醜不可外揚的地區），但上述這種從作中學的做法確實有助於企業精進資安防禦機制，至少，企業新進資訊人員可透過詳盡的資安報告了解企業曾遭遇過哪些資安問題。