近年來,隨著各產業的服務網路化與數位轉型,網路攻擊行為也因應而生,如資料的竊取與破壞、或是植入惡意程式造成服務癱瘓等,這些都可能對企業造成嚴重的損失與衝擊。而今年Q1尚未結束,便有數起資安事件:
2023年一月華航的會員資料遭駭客揭露,當時在國外論壇,許多台灣政界、商界、明星等知名人士的個資陸續被揭露。華航表示的確有收到匿名勒索信件,據資安專家猜測,可能是駭客因透過信件勒索金錢無效,才利用此方式威脅華航支付贖金。不過華航也表示其揭露的資料與公司資料庫不盡相同,可能資料是透過其他管道外洩,已在第一時間進行資安防護,並提醒使用會員定期更改帳密,保障個資安全。
同月31日iRent發生個資外洩事件,發現資料庫未加密,使得百萬個信用卡號碼、10萬名客戶以上的資料被流出,爆發客戶、民眾恐慌。也因此公路總局要求iRent,依個人資料保護法改正完成,如屆期未改正,則依《個人資料保護法》按次處新臺幣2萬元以上20萬元以下罰鍰。
2023年二月接續發生以下資安事件:飛宏科技成為了LockBit勒索軟體受害者,所幸及早發現異常並阻斷對外網路,評估並未受到影響。
同月微風百貨收到匿名網路勒索信件,並且在駭客論壇BreachForums,有人聲稱竊取百貨內部資料與90萬用戶個資,據報導,此資安事件是因為資料庫遭人帶出後取得資料。
參考新聞:
iThome2023年1月資安月報:https://www.ithome.com.tw/news/155167
iThome2023年2月資安月報:https://www.ithome.com.tw/news/155693
iRent 個資外洩:https://www.bnext.com.tw/article/73974/hota-irent-customer-data-exposed-response-security-information
微風百貨資安事件,個資外洩:https://udn.com/news/story/123309/6989196
除了今年的上述事件,在去年也發生了幾件重大資安事件,回顧如下:
2022年6月28日股市交易系統中斷,其中有十二家券商、九家期貨商向證期局通報無法進行股票交易。事件原因為BGP連線之路由筆數超過6000筆(正常為1500筆),造成斷網,導致交易系統異常。雖然僅影響1小時左右,但已造成廣大投資人的損失。事件後,臺灣證券交易所成立調查小組釐清事件原因,並加強資訊安全防範措施,以避免類似事件再次發生。
2022年8月裴洛西訪臺,在此期間臺灣政府網站和相關機構遭到大量的網路攻擊,包括分散式阻斷服務(DDoS)攻擊、洪水攻擊、雜訊攻擊等。這些攻擊造成公部門網站的不穩定和網路資源的損失,也對臺灣網路安全帶來威脅和挑戰。在事件發生後,臺灣政府和相關單位立即展開調查和應對,加強網路安全措施,並呼籲公民注意網路安全風險。
2022年11月29日雄獅旅遊遭駭客網路攻擊,導致其網站服務癱瘓,造成旅遊業務嚴重影響。攻擊者透過網站漏洞,竊取旅客的個人資料,包括姓名、電話、身份證字號等敏感資料,涉及的旅客數量超過25萬人。該事件引起政府和民間對於個人資料保護和資訊安全的關注。雄獅旅遊隨後公開道歉,並加強了其網站的安全性措施,以防止類似事件再次發生。
政府開始加強落實資通安全管理法
台灣於2019年3月1日正式啟用資通安全管理法,並建立分級制度,定義各個機關與企業必須遵守的規範,關於資通安全管理法的分級制度說明詳見隨著資通安全管理法上路,企業必須依循辦理的事項是哪些。雖然相關的法規早已建立,但直到現今,尚有許多嚴重的資安事件不斷發生,故相關單位已開始針對各機關企業進行檢核,確保各行各業都有落實資安防護。
OKWASP協助企業進行資通安全管理法規範的網站安全弱點檢測
在法規頒布之後,尚有許多企業不清楚如何依照規範來進行資安檢測與防護,可以參考公司的資安要求等級與相對需要完成的資安工作細項。如果是關於網站的弱點檢測,可使用國家認證的OKWASP雲端弱點掃描服務,它能協助企業進行資通安全管理法所規範的的網站安全弱點檢測,而且在資通安全管理法採購指引懶人包中OKWASP也是被政府認可的弱點掃描和滲透測試的解決方案。資訊化時代,企業在面臨數位轉型浪潮的同時,資安的檢測防護也是其中一項需要定期、長期維運的工程,不單是為了法規,更是為了保障用戶的資料安全,並且維繫企業的商譽。
