近年臺灣資安事件層出不窮,造成國民個(gè)資外泄、電子商務(wù)及金融業(yè)營運(yùn)損失、企業(yè)面臨駭客攻擊,更對國土安全形成威脅。為加強(qiáng)臺灣中小企業(yè)防范資安攻擊事件,經(jīng)濟(jì)部工業(yè)局委托工業(yè)技術(shù)研究院執(zhí)行「資通訊安全產(chǎn)業(yè)推動計(jì)劃」,針對臺灣資安事件與需求進(jìn)行調(diào)查,并歸納出十大國內(nèi)資安事件,分析常見資安事件與案例,呼吁企業(yè)與個(gè)人提升危安意識,并提供資安解決方案,協(xié)助企業(yè)強(qiáng)化資安防護(hù)解決方案,將風(fēng)險(xiǎn)與成本降到最低。
隨著科技的演變及企業(yè)營運(yùn)模式的改變,資安防護(hù)的復(fù)雜度也日益增加,導(dǎo)致企業(yè)必須投入更多資源在建置資通訊安全,以確保公司機(jī)密資料不外泄并維持企業(yè)商譽(yù)。因此,資安逐漸被列為企業(yè)營運(yùn)重要規(guī)劃的一環(huán)。然而根據(jù)資安通訊安全產(chǎn)業(yè)推動計(jì)劃研究發(fā)現(xiàn),2013年臺灣企業(yè)基于資安預(yù)算有限,會考量集中投資在優(yōu)先度評估較高的部份資安方案,但也形成缺少全面性資安防護(hù)的窘境,使公司暴露于潛在風(fēng)險(xiǎn)之中,不只使資安事件發(fā)生的頻率日益上升,損失金額更是倍增。根據(jù)美國網(wǎng)絡(luò)犯罪申訴中心( Internet Crime Complaint Center,IC3)公布「2013年網(wǎng)絡(luò)詐騙活動報(bào)告」,IC3 所收到的網(wǎng)絡(luò)詐騙申訴案件自2005年起的23.1萬筆成長到2013年的26.2萬筆,損失金額更從1.8 億美元成長到7.8億美元。
資通訊安全產(chǎn)業(yè)推動計(jì)劃主持人黃維中指出:「中小企業(yè)應(yīng)重視投資資安解決方案,臺灣有許多優(yōu)秀的業(yè)者提供符合成本效益的資安服務(wù),協(xié)助中小企業(yè)針對惡意攻擊進(jìn)行事前預(yù)防、事中因應(yīng)與事后處理。企業(yè)應(yīng)將資安與企業(yè)獲利并列為重要營運(yùn)目標(biāo),將資安視為保護(hù)公司重要資產(chǎn)的必備工具,才是有效降低風(fēng)險(xiǎn)與避免付出更高代價(jià)的最佳方法。」
經(jīng)濟(jì)部工業(yè)局資通訊安全產(chǎn)業(yè)推動計(jì)劃列出十大常見資安事件與案例,做為中小企業(yè)借鑒,期望中小企業(yè)能以更積極謹(jǐn)慎的態(tài)度面對資安威脅。此外,經(jīng)濟(jì)部工業(yè)局資通訊安全產(chǎn)業(yè)推動計(jì)劃為了協(xié)助中小企業(yè)縮短資安規(guī)劃時(shí)程,也推薦臺灣優(yōu)良資安解決方案廠商,與資安廠商資料,期望能使中小企業(yè)強(qiáng)化資安體質(zhì),提高商業(yè)競爭力。
1. 資料外泄--經(jīng)由內(nèi)部或外部不適當(dāng)或未經(jīng)授權(quán)之方式,存取、使用或修改資料,并且會直接或間接地對持有該資料的組織、企業(yè)或個(gè)人,造成有形與無形負(fù)面影響之事件。
案例:2013年2月,臺灣Nokia的5個(gè)委外行銷網(wǎng)站遭駭,17萬筆個(gè)資被公開,150萬筆存有風(fēng)險(xiǎn)。
2. 進(jìn)階持續(xù)性威脅(Advanced Persistent Threat,APT)攻擊事件--駭客以組織性移動并出于經(jīng)濟(jì)利益或競爭優(yōu)勢,以超過目標(biāo)防護(hù)能力并具有復(fù)雜和多樣性的手法,針對單一企業(yè)或機(jī)關(guān)進(jìn)行客制化且持續(xù)性的攻擊。
案例:國際駭客組織以微軟RTF程式漏洞,針對臺灣企業(yè)及政府單位發(fā)送夾帶后門的熱門議題(如服貿(mào))電子郵件,以竊取目標(biāo)機(jī)密資料。
3. 分散式阻斷服務(wù)(Distributed Denial-of-Service Attacks,DDoS)攻擊--駭客借由分散的攻擊方式,聯(lián)合網(wǎng)絡(luò)上能發(fā)動阻斷服務(wù)(DoS)的復(fù)數(shù)主機(jī)同時(shí)發(fā)動攻擊,占用或耗光目標(biāo)對象主機(jī)或系統(tǒng)的資源或服務(wù),讓系統(tǒng)的可用性降低,導(dǎo)致一般使用者無法正常使用系統(tǒng)或主機(jī)所提供的服務(wù)。
案例:2013年5月,臺菲漁船槍擊事件引發(fā)臺菲鍵盤戰(zhàn)爭,臺灣遭菲律賓駭客以DDoS攻擊后反擊,臺灣在此事件中包含總統(tǒng)府、外交部、國防部、海巡署等網(wǎng)站皆遭到DDoS攻擊,也有部份臺灣民營網(wǎng)站癱瘓。
4. 資料庫遭駭--企業(yè)或組織存放營運(yùn)所需資料的資料庫,遭內(nèi)部或外部不適當(dāng)或未經(jīng)授權(quán)之方式存取、使用或修改,造成被駭對象有形與無形負(fù)面影響。
案例:2013年5月19日,臺灣Groupon網(wǎng)站資料庫遭攻擊,臺灣會員數(shù)約380萬,其中估計(jì)有一成會員的電子信箱帳號及密碼可能被盜。
5. 社交工程郵件詐騙--利用民眾疏于防范的心理,讓受害者掉入陷阱。該技巧通常以交談、欺騙、假冒或口語用字等方式,從合法用戶中套取用戶系統(tǒng)的秘密。
案例:2013年5月,駭客假冒健保局名義,以二代健保為誘餌,寄發(fā)社交工程郵件給中小企業(yè)。刑事局于5月27日宣布偵破,以妨害電腦使用罪將嫌犯移送法辦。
6. 手機(jī)或即時(shí)通訊信息詐騙--針對智慧型手機(jī)或平板等智慧型移動裝置植入病毒、木馬等惡意程式;或通過傳送詐騙訊息以存取、復(fù)制、刪除移動裝置中的個(gè)人資料、帳號密碼;或取得系統(tǒng)權(quán)限寄送用戶不知情的付費(fèi)簡報(bào)或撥打高額付費(fèi)電話;或通過傳送位置、開啟裝置鏡頭攝錄、降低裝置執(zhí)行效能,或直接竊取目標(biāo)裝置等,甚至用戶本身遺失裝置,也都屬于此事件的手法。此類事件多造成用戶資料外泄、財(cái)務(wù)損失、裝置癱瘓或遺失遭竊等。
案例:2014年4月,因?yàn)槁短炫馁u網(wǎng)設(shè)立帳號認(rèn)證機(jī)制,并提供0809認(rèn)證電話,卻反而被歹徒用來結(jié)合LINE詐騙,把不知情的民眾當(dāng)成網(wǎng)拍賣家人頭,被害人等到警方找上門,或者被買家"追殺",才發(fā)現(xiàn)自己不小心成了詐騙集團(tuán)共犯。
7. 惡意程式威脅--所謂惡意程式威脅事件,泛指有心人士刻意撰寫具備惡意企圖的程碼,包含電腦病毒、蠕蟲、木馬、間諜軟件、廣告軟件等種類,造成的影響如破壞系統(tǒng)正常運(yùn)作、耗盡電腦資料、修改或破壞系統(tǒng)設(shè)定、復(fù)制或刪除檔案、讓系統(tǒng)當(dāng)機(jī)、竄改程式資料、監(jiān)控電腦活動等隱私侵害、散布廣告等。
案例:2012年4月,出現(xiàn)針對Mac電腦的Flashback木馬程式變種,經(jīng)由Mac OS X系統(tǒng)的Java漏洞感染,主要目的為竊取個(gè)人資料,全球有60萬臺Mac電腦感染。
8. 網(wǎng)站(頁)遭駭--網(wǎng)站被植入惡意程式、或被癱瘓無法正常運(yùn)作、或原本頁面被置換成其他頁面、或網(wǎng)站被藏入導(dǎo)向至特定頁面。
案例:2013年7月,蘋果電腦(Apple)之擁有600萬會員數(shù)的開發(fā)者網(wǎng)站遭到入侵,導(dǎo)致部分會員的個(gè)資可能外泄。
9. 身分帳密遭盜用--惡意人士通過如惡意程式、社交工程、網(wǎng)站系統(tǒng)漏洞等方式,取得目標(biāo)對象之帳號密碼的事件。
案例:2013年10月,軟件業(yè)者奧多比(Adobe)在部落格中坦承公司系統(tǒng)遭駭客攻擊,駭客除了取得部分用戶資訊,包含使用者帳戶密碼、姓名、信用卡號碼等重要資訊,也取得Acrobat、ColdFusion等部分Adobe產(chǎn)品的原始碼,個(gè)資可能外泄的用戶達(dá)290萬。
10. USB威脅事件--通過藏有惡意程式之USB隨身碟感染目標(biāo)企業(yè)、組織或人員的電腦或裝置,進(jìn)一步入侵目標(biāo)對象之系統(tǒng)并竊取機(jī)密資料、癱瘓系統(tǒng)。
案例:某位員工利用傳輸線將手機(jī)連上PC的USB port充電,導(dǎo)致原先潛伏在手機(jī)里的惡意程式(DroidCleaner),將惡意檔案傳送到公司的PC設(shè)備上。
