林建隆提醒,這種民間開發、以某種目的蒐集個資的APP或系統,除非發生詐欺等刑事案件,否則民眾實在不易察覺個資是否外洩,政府過去也鮮少對業者蒐集個資後,是否用於蒐集目的外進行稽核,幾乎只能靠業者自律。
依《個人資料保護法》規定,各場域蒐集的個資,均要指定專人辦理並善盡保護責任,最多存放28天,之後就必須刪除或銷毀。
資安專家提醒民眾,須注意實聯制QR Code隱藏的資安風險。 林建隆指出,一般業者蒐集個資,除了處理購物訂單外,會用於後續的廣告行銷,也有不肖人士竊取個資賣給詐騙集團,甚至出現危害國家安全的疑慮,不可不防。
相對防疫實聯衝衝衝藏有漏洞,唐鳳推的簡訊實聯制安全性則沒有問題,但林建隆提醒,店家將QR Code張貼於店門外,務必不定期檢查,以防遭不肖人士更換,民眾掃描及傳送簡訊時也需注意是否真的傳到「1922」,以免連結到高額付費號碼,讓荷包大失血。
行政院政務委員唐鳳設計的「簡訊實聯制」,對疫情管控助益甚大。 除了實體店面張貼的QR Code,網路或手機出現的QR Code更可能連結到惡意網站,不可不慎。資安專家Bf Chen指出,操作介面雖簡單也容易暗藏玄機,因智慧型手機有自動顯示預覽連結功能,當簡訊成功發送後,惡意連結將自動轉為網站預覽模式,傳送使用者的裝置資訊,駭客就可輕易取得對方的手機資訊。
公家單位為避免疫情擴大,特別加大等候區的座位距離。 疫情升溫下的資安風險,除了實聯制,遠距上班問題也很大。曾發現臉書付款漏洞、刪除臉書創辦人祖克柏貼文、入侵高鐵購票系統,被封為「天才駭客」的張啟元,「洗白」後已投入資安工作,目前是新創資安公司「ZUSO如梭世代」的研究員,他提醒公司行號及一般員工,在家上班千萬注意,因為惡意駭客真的無所不在。
他告訴本刊,許多民間企業、政府機關為避免疫情擴散,要求員工在家上班,但透過家中網路與公司電腦系統連結,須考量很多資安問題,公司端系統伺服器應做好權限控管,如不同部門或不同職階的員工帳號,須事先規範與區別,限制登入的系統及可連線的範圍。
不少公司因應疫情升溫,讓員工分流,在家遠距上班,但隱藏資安風險。 為了讓員工在家上班能使用公司內部系統(如ERP)與資源,通常公司會提供虛擬私有網路(Virtual Priavte Netwrok,VPN)服務,讓員工在家登入後,使用如同在辦公室的網路環境,但除了以一般帳號、密碼識別員工身分,也應啟用雙重驗證(Two-Factor Authentication、2FA)機制加強管控。
張啟元建議,員工自行設定帳號、密碼,必須有一定的複雜度,也必須定期更換,最好啟用雙重驗證方式,如簡訊、生物識別等,更重要的是,員工必須遵循公司的資安規範,提高警覺,以維護電腦的安全性,否則,如被植入木馬程式,駭客就可透過被駭電腦的路徑,循著連線侵入公司的伺服器主機,竊取各種資料。
張啟元強調,企業應該把對外服務、內部業務處理和開發環境的網路有所區隔,依據帳號權限各自管理,並隨時稽核各項異常紀錄,同時建立防火牆規則、漏洞修補、VPN設定及登入時雙重驗證、限制登入裝置及來源IP等,定期更換登入密碼,提醒員工不要使用來路不明的軟體,同時加強對社交郵件的警覺。
曾發現臉書漏洞、被封為「天才駭客」的張啟元,目前投身資安工作,他呼籲民眾設定密碼時,應有相當複雜度,最好啟用雙重驗證。 「最重要的是把工作與私人電腦分開!」張啟元告訴本刊,因國人對網路不明連結的警覺性很低,加上習慣透過網路追劇或觀看情色網站,都會增加誤中惡意、木馬程式的風險。若能把工作、私人娛樂用的電腦分開,準備專屬連線設備並定期執行掃毒,不使用密碼記憶功能,即可確保網路連線的安全。
張啟元指出,資訊系統最難防禦的是「人的問題」,舉例來說,多數人很容易受到社交攻擊,最常見的就是駭客故意寄問題郵件到使用者的信箱,民眾若毫無警覺,隨意點擊,個人電腦或手機就會被植入病毒或惡意程式,根據他多年的資安工作經驗,員工在家上班因主管無法控管,很多人都不會遵守規則,風險比在公司上班高出許多。
資安專家Bf Chen提醒,電腦、手機最好經常更新,並安裝防毒軟體。 Bf Chen也告訴本刊,他曾與不少廠商接觸,發現國內多數廠商雖樂意面對企業系統問題,但很多工程師只會開發,卻不知如何修補漏洞,若能多花點錢投資資安設備及教育訓練,或透過資安公司提供服務,才能在遭受駭客攻擊的第一時間處理善後。
遠距上班、上課注意事項 使用公司提供的虛擬私有網路VPN 啟用帳號、密碼、電話簡訊等多重驗證機制 企業應把重要資產主機、一般日常主機分開 員工應將工作電腦與私人電腦分開 提高帳號密碼及Wi-Fi密碼強度 視訊鏡頭及麥克風未使用時,用不透光膠帶或布遮蔽 定期確認家中連網設備、軟體是否為最新版 Bf Chen指出,過去台灣製造業都在封閉的網路環境中運作,近年因物聯網時代來臨,封閉式網路環境逐漸轉變為開放性環境,但許多老舊設備沒有更新,仍持續運作,容易成為駭客攻擊勒索的對象,企業必須正視相關問題,否則資安隱憂將持續擴大。
疫情升溫,政府宣布各級學校全面停課,家長也忙著把孩子接回家。 除了遠距上班潛藏風險,目前全台各級學校因疫情升溫停止到校,改採視訊遠端上課,也有不少須注意的事項。張啟元建議,老師最好透過教育部或各校提供的線上學習課程教學,學生及家長必須確認登入的網站,是否為學校或教育部的官網,最好使用單一平台上課,不要使用來源不明的連結或網站。
學童在家透過遠距教學系統上課,學習不中斷。 張啟元也呼籲學生及家長,保護好登入帳號、密碼,最好設定高強度的密碼組合,並透過密碼管理員等外部隱私工具輔助,避免遭有心人竊取個資。另一方面,師生開啟視訊鏡頭後,可把家中背景虛擬、模糊化處理,視訊鏡頭及麥克風未使用時,最好用不透光膠帶或布遮蔽,定期確認家中連網設備、軟體是否為最新版,家中的Wi-Fi密碼也不要設定得太過簡單。
新北市疫情嚴峻,市府派人在各個傳統市場進行全面消毒。 疫情升溫後,多數人不常出門,網路購物因此大爆發。ZUSO如梭世代創辦人IK Hung提醒,消費者最好透過有使用安全措施的電商平台購物,至於要怎麼辨認?最簡單的方式是在瀏覽畫面檢查有無「鎖頭」或「鑰匙」的圖標,如果有,代表業者採用安全傳輸層(SSL)技術,會將消費者的資料先行加密,再傳至電商平台。
全台疫情大爆發,以往人潮眾多的台北市信義商圈最近十分冷清。 IK Hung呼籲消費者,不要與他人共用帳號,密碼也不要設定得太簡單;另一方面,常有不肖人士假冒購物平台寄送廣告或訂單至消費者信箱,這些信件多半被歸類於垃圾郵件,信件中往往暗藏惡意程式連結,經常與官方網站的英文字串網址類似,消費者若沒警覺就點擊,會被植入後門程式,伺機竊取個資,所以點擊任何連結前,一定要再三確認英文字串與官網是否完全一致。
「科技始終來自於人性!」IK Hung說,疫情升溫下的台灣,各行各業無不繃緊神經,大家都怕成為防疫破口,但人性都有瑕疵,現階段企業實施分流,也是駭客攻擊最猖獗的時刻,可能利用民眾在家工作、資安防範薄弱,伺機竊取公司或客戶的機敏資料,或利用民眾頻繁使用網路的機會,透過發布疫情資訊等連結詐騙個資,一定要提高警覺。
科技大廠員工遠距上班,工作用、私人用電腦分流很重要。(台積電提供) 除了家用電腦、筆電應經常更新,大家最常使用的手機,最好也要安裝防毒軟體,如未加裝,手機程式該更新就更新,不要怕速度變慢而不更新,另一方面,千萬不要「借用」住家隔壁沒有加密的Wi-Fi,因為資料是明碼傳輸,如果剛好有駭客在同一個無線環境,相關資料就有洩漏風險,不可不防。
網購注意事項 在瀏覽器畫面中,檢查有無「鎖頭」或「鑰匙」圖標 避免與他人共用帳號,密碼設定也不要過於簡單 點擊郵件連結時,確認網址的英文字串與官網完全一致 不要點擊或下載來路不明的電子郵件或程式