在全球疫情和氣候變化的影響下,大家的消費行為也隨之改變,網購、外送平台、汽機車共享服務使用人數不斷上升,在品牌官網、APP、購物平台留下個人資料、線上付款已是日常,但也伴隨個資外洩、詐騙的事件暴增。是否曾想過到底是誰外洩你我個資? 明明沒留過資料,卻常常接到陌生廠商的推銷電話,收到廣告簡訊或垃圾郵件?!隱藏的風險,其實早在你我身邊。
身處在數位時代的我們,很難完全避開網路使用行為,因此在提供商家個人資料的時候,應更謹慎、提高警覺。為了保護消費者權益、維護企業營運安全,政府頒布的個資法 、上市櫃資通安全管控指引 ,或是ISO27001國際認證 ,皆要求企業需針對機敏資料實施相關防護及控制措施;有鑑於此,企業對於機敏資料管理也應從長計議,確實了解機敏資料定義是什麼,落實內部資料盤點,並擬定適合的保護和控制措施,加強維護客戶資料安全和營運持續。
機敏資料是什麼?對你我和企業都至關重要的資料!
機敏資料定義對企業來說,包含關乎隱私的個人資料,或是對營運至關重要、能給予企業競爭優勢的營業秘密資料,一旦外洩可能造成企業聲譽和營運等重大損失。常見的資料類型如:
- 個人資料:
包括員工、客戶的個人資訊,如身分證字號、聯絡方式、健康資訊、財務資料等,若資料洩漏可能導致身份盜用、詐騙、隱私侵犯等問題。 - 商業機密:
包括新產品開發計畫、行銷策略、客戶名單、供應商資訊等,若資料外洩,可能導致競爭對手抄襲、客戶流失,甚至影響企業的市場地位。 - 財務資料:
包括財務報表、營運數據、合約資訊等,此類型資料外流可能導致財務損失、投資人信心下降,甚至影響企業的信用評級。 - 知識產權:
包括專利、商標、著作權等,這些資料是企業的核心資產,一旦外洩,可能導致侵權訴訟,甚至失去市場競爭力。
機敏資料的分級通常根據其敏感程度、影響範圍及法律規定等因素進行劃分,常見的分級標準:
- 公開資料:
不涉及機密或個人隱私,無需特殊保護措施,如宣傳資料、產品手冊和新聞稿 - 內部資料:
僅供公司內部使用,不適合公開發布或外流,但洩漏後的風險相對較小,如公司內部通訊錄、一般內部報告 - 機密資料:
包含商業機密或敏感訊息,若洩漏可能對公司造成一定程度的損失或影響,如客戶名單、銷售策略和內部財務報告 - 高度機密資料:
極為敏感的內容,洩漏可能對公司造成重大損失或法律風險,如未公開的財務數據、商業計畫 - 限制級資料:
這些資料受到嚴格保護,僅限特定人存取,洩漏會對公司造成嚴重影響,例如醫療紀錄、金融數據 - 極度機密資料:
此為最高級別的機密,洩漏將對公司核心利益或個人安全造成重大威脅,如企業核心技術、敏感的法律文件或談判資料
企業可先比對上述分類及分級定義,盤點所有機敏資料、不分紙本或是電子檔案,若非公開資料,須詳細記錄在盤點清冊內,制定不同的保護政策,並控制資料的存取權限,落實被保護的資料不被任何非法管道取得。
機敏資料是誰偷走的?資料外洩常見的2種狀況
企業的機敏資料,通常存在主機資料庫,或是某位管理同仁的電腦excel檔中,若沒有給予加密保護、限制存取權限,甚至沒有嚴謹的資安防護措施,遇到下列兩種狀況,資料外洩將是遲早的事:
狀況一、遭受外部攻擊、駭客入侵
多數企業僅有基礎資安防護措施(例如防毒軟體、防火牆),且無定期更新、升級,若系統存在漏洞、被駭客攻破,即可輕易竊取機敏資料。另一種情況是,企業員工資安意識薄弱,誤點釣魚郵件、誤入釣魚網站,間接植入病毒碼在電腦,就此為駭客開啟大門,輕鬆進入偷走資料。
狀況二、內部人員惡意外洩資料
員工若心懷不軌、貪圖利益,利用職務之便,攜出公司機密資料賣給競爭對手或不肖廠商,不僅造成客戶資料外洩、權益受損,也連帶損害公司聲譽、營運,造成嚴重損失。
保護敏感資料的挑戰是什麼?
從機敏資料外洩的情況,也可見企業在保護敏感資料時,會遇到內、外許多挑戰:
內部挑戰
- 員工疏忽:
員工可能因疏忽將敏感資料外洩,例如將機密文件遺失、誤傳給外部人員,或是在社交媒體上洩露公司資訊。 - 內部人員威脅:
不懷好意的員工可能為了個人利益或報復,故意洩漏公司機密。 - 缺乏資安意識:
員工對資安的重要性認識不足,可能輕忽資安風險,成為資安漏洞。 - 資料分類困難:
企業內部資料量龐大且複雜,如何有效地識別並分類敏感資料,是一項巨大的挑戰。
外部挑戰
- 駭客攻擊:
駭客利用各種手法,如網路釣魚、惡意軟體等,入侵企業系統竊取敏感資料。 - 供應商風險:
企業的供應商可能成為資安漏洞,透過供應商的系統間接洩漏資料。 - 法規遵循:
各國政府不斷推出新的資安法規,企業必須遵守複雜的法規要求,以保護敏感資料。 - 新興科技的挑戰:
雲端運算、物聯網、生成式AI等新興科技帶來便利的同時,也增加了資安風險。
其他挑戰
- 資料量龐大:
隨著企業數位化程度提高,資料量呈指數級成長,使得資料保護變得更加複雜。 - 跨部門合作困難:
資安涉及多個部門,如IT部門、人力資源部門、法務部門等,如何協調各部門的合作,也是一項挑戰。 - 預算有限:
資安投資需要大量的資金,許多中小企業可能面臨預算有限的困境。
《解決企業機敏資料保護困境,鼎新資安團隊為您服務 》
機敏資料管理措施有哪些?
企業保護機敏資料,需從不同面向同時著手進行,從內部存取權限制定、資安防護加強到人員管理,才能徹底做到完善防護:
資料權限控管
- 機敏資料識別與分類:
清楚界定哪些資料屬於機敏資料,並依據敏感程度進行分級。 - 存取控制:
僅授予員工執行工作所需的最低權限。 - 加密技術:
高機密文件難以規範使用者行為,可透過常見的資料外洩防護技術(DLP )加上標籤,以追蹤檔案流向、保留稽核紀錄,作為法律證據或追查途徑。
資安防護
- 網路安全:
建立WAF網路應用程式防火牆 、入侵偵測系統等。 - 實體安全:
控制人員進出,保護機敏資料存放處。 - 備份與復原 :
定期備份重要資料,以防資料損失。
人員管理
- 員工教育訓練 :
提高員工對資安的認識。 - 供應商管理:
與供應商簽訂合約時,明確規定資料保護條款。
在制定這些措施後,也要定期對資安系統進行評估,並根據威脅情勢調整資安策略,以確保有效性。
企業遇到資料外洩,該如何處理?
企業一旦發生資料外洩事件,應立即採取一系列措施來控制損害、調查事件,並防止未來的資料洩漏:
立即隔離系統並啟動應緊急因應措施
立即確認洩漏的範圍和影響,將受感染的系統與網路隔離,防止資料外洩範圍擴大,並啟動預先制定的緊急因應計畫,迅速組織團隊(包含IT、法務、公關和管理層等相關人員),明確分工負責。
評估損害程度並進行調查
釐清有哪些資料外洩,以及外洩的具體內容,評估此次事件對公司、客戶和合作夥伴以及法律合規等影響;積極調查洩漏原因和途徑,是遭到外部攻擊、內部人員失誤或故意行為,並使用數據取證技術來收集證據,以支持後續調查和法律行動。根據調查結果,改善相關的業務流程和管理制度,防止類似事件再次發生。
通知相關單位
依據相關法規,向主管機關通報資料外洩事件。若涉及個人資料外洩,應立即通知受影響的當事人,提供必要的協助,並與公關部門合作,準備官方聲明和FAQ,回應外界的關注和問題,透過電子郵件、網站、媒體等公開溝通,保持透明。
採取補救措施
盡快找出資料外洩的原因,立即修補系統漏洞,同時加強資安防護措施,例如升級防火牆、加強員工資安教育等。若有必要,應進行資料恢復,將損失降到最低,亦防止再次發生。
持續監控與改進
後續需持續監控網路,及早發現新的安全威脅,若負責資安的人力有限,可借助資安監控工具或委託專業廠商協防,且定期評估資安措施的有效性,隨時進行調。
保護敏感資料是一項長期且複雜的任務,企業需要不斷努力,才能有效應對不斷變化的資安威脅。透過建立完善的資安體系,有效保護敏感資料,降低資安風險。
鼎新電腦資安團隊,擁有豐富的企業輔導經驗,也有專責顧問協助企業符合資料保護相關的法規要求,例如個資法、上市櫃資通安全管控指引、IPO資安或是ISO27001國際認證,依企業目前現況,提供改善建議;若想加強資安防護,可先協助企業評估目前的弱點和漏洞,提供最佳解決方案,預算精準花費、又能達到有效防護!
《由專人為您評估企業風險、增強資料保護措施 》