探索防駭與資訊安全科技
記者 林鈺庭、黃熙桐、章仁潔、黃茜雯/採訪報導
年初竟傳出外交部領事事務局的信箱,遭受駭客入侵,開始有許多關於個人資料外洩的疑慮,導致有許多民眾的出國登錄資料等遭竊取外洩,也讓民眾對於個人資料保護越來越關心,政府到底該如何完善服務、保護民眾呢?
網路的便利 隱私卻無形暴露
隨著資訊科技的進步,越來越多人注意到資訊安全及資訊隱私的隱憂,我們在登入網站或App前,系統會要求你填寫個人資料,再詢問是否同意資料被使用,其實就涉及個人隱私的安全,按下同意的那一刻,個人資料承載著外流的風險。透過互聯的方式,資料就有機會被其他系統使用,登記的資料愈多愈詳細,透明度就愈高,我們不禁會產生資訊是否受到保護的疑慮,也是目前資訊發展下最大的問題。
K匿名系統 保障資訊隱私
在官方資安保護方面,中央研究院的博士戴伯臣表示:「資訊隱私是指個人在資訊上的隱私權,針對個人的所有權。」近幾年,隨著軟體發展愈來愈多,開始注意個人資料的散布,但依舊有多數人不會注意到同意使用的後果,促成系統能利用民眾的個人資料進行商業買賣及利用,甚至在不知不覺中,使用網路的習慣、搜尋紀錄也變成網絡公司利用的數據;然而,商業發展中不能避免一定要使用這些數據,透過數據化的分析去統計未來趨勢發展,因此,例如:歐盟的個資保護法GDPR(General Data Protection Regulation)就是針對商業使用資訊的規範,透過這類型的法律條文,網絡公司無法將資料隨意使用賣給第三方,面對法律規範及資訊隱私的壓力。
戴伯臣舉出兩種能夠避免侵害個人隱私又能使用數據的方式:「K匿名」,將個人資料去識別化,利用相同性將資料聚集在一起,讓資訊無法辨識個體,可以直接或間接遮蔽能辨別個人的資料,打斷資料的關聯性,使資料無法回溯個人,便不構成侵犯隱私,能使大模組存在進而研究;另一種是Differential Privacy(差分隱私),利用加噪的概念,計算資料的關聯性,來分析出機率分布的狀態,再整合新的資料,資料具有否認性,無法辨別個人差別,只能用機率去看整體,例如:Apple跟Google Chrome,就是採用這樣的方式,進行不同族群使用者的行為了解。
利用統計數據分析 偵測資安異常
資訊安全則是指保護資料的安全,中央研究院從事資訊安全研究的博士李思壯,主要專研資料安全分析,他表示資料安全除了資料受到侵害後,循線追查侵害來源的「鑑識」外,另一種方式則是由日常資料數據的「統計」,透過Data mining(資料採礦)的分析,比對受到入侵後與平常數據的不同,來做為日後偵測新流量的正常與否,在流量異常時候主動防禦,不用到資料安全被危害才有所處理,類似機器學習的概念,將資料交給數學方法,建立訊息與結果的關係。像是:信用卡公司需透過統計刷卡經驗的數據,將正常與異常的刷卡金額經由數學運算,只要把資訊放進運算好的公式內,就能偵測盜刷的可能性。
提到資訊安全的防範,李思壯說:「伺服器就像一座城堡。」為了防禦會將城堡關起來,當需要提供服務或與外界聯絡再開起需要的通道,開啟後必須確定通道內的程式碼是安全的,因此,網站提供的服務越少,被攻破的可能性也會縮減,如果購買攝影機等電子產品,要注意資料傳輸必須是安全有保障且不容易遭到駭客入侵的位置,用去識別化或加密的方式將資料輸出。
填寫資料 多一份注意
戴伯臣跟李思壯建議民眾填寫資料,一定要閱讀法律條文及簽署內容,另外,針對各國有不同的資料保護法,建議民眾了解後再選擇使用,像有些國家對隱私較不重視,甚至政府會鼓勵商人將資訊透明化以便做分析統計,若顧及資料洩漏的疑慮,可以考慮購買歐、美、日等國家商品,因為相較於其他國家,對個人隱私較為重視、保護。
政府管理個資 需規範和變通
在企業資安保護方面,擁有網路安全、資訊安全管理系統、IT治理、風險管理等專業,安永企業資深協理魯君禮說:「政府機關其實對於洩漏個資方面,其實是沒有太大的問題。」台灣從2010年個人資料保護法通過,政府機關遵循依法行政,政府保護民眾資料卻是過猶不及,時常發生的是:「需要提供資料,卻因法規無法變通」,所以政府主要的問題還是回歸到:資訊安全管理沒有確實扎根,管理機制應該要更有規範,相關技術如何精進?管理如何加強?都是政府應該要多留意的面向。
資安防禦 應從被動晉升主動
魯君禮提到在安全思維上,也表示台積電是他看過資安做得最好的公司,例如:進出廠區不能攜帶電子產品,而金融業的資安也是具備一定水準,他也認為企業應該要從過去的被動防護,進階到「主動防禦機制」,現在我們對資訊安全基本上都還停留在被動防禦,主動防禦機制主要包含兩個項目,第一,不讓外面的惡意程式威脅入侵,其次,則是防止內部資料洩漏出去。統計得知惡意程式躲入企業內部平均為204天,惡意程式在未發動前,這期間完全沒任何徵兆,早已在無形之中竊取資料,因此,解決的方式便要從定期、主動去清掃偵測開始,而要怎麼去找到躲藏其中的惡意程式呢?魯君禮舉例兩種方法,一種是誘捕(honey pot)吸引它,像是:故意製造漏洞,讓惡意程式以為有機可乘,藉此讓程式冒出,另一種則是亂槍掃射的方式,像是:改變環境,用程式跑過一遍後,誘發它出現,藉此除去惡意程式。
資訊安全的範疇很廣,每一筆的個人資料的應用分為幾種角色:資料的使用者(data owner)、資料的管理者(data user)、資料的保管者(data keeper),它們各有其重要的責任和保護的義務,且必須合作,才能真正完善安全保護的機制。在安全技術方面上,應該優先考慮「身分識別及存取管理(Identity and Access Management)」機制,將所有的資料回到源頭,由被賦予權限的人去操作設備、執行程式、存取資料,這些方式都是企業、政府只要願意投入資金,就能夠降低威脅入侵的機會。
便利帶來的危機 促使資安意識提升
近年來,資訊科技安全意識崛起,也帶動周邊市場商品的營收,像是:政府企業會加裝安全智能軟體保護,而資訊的個人安全意識分為兩個層面,第一個則是個人行為,要從資訊安全素養培養起,其次則是使用軟體是否能夠信任?這是由個人意識主觀去判斷,例如:不明免費軟體,具有很多不確定因素在裡面,個人資料往往在不自覺中洩漏。所有的資訊安全、個人資料保護,其實都是風險管理的議題,例如: Apple Pay、Uber等應用程式,它除了擁有我們的個人資訊之外,甚至還掌握信用卡號等支付資訊,因此當大眾要享受這些便利時,要先去評估風險、做到基本防範,將金錢損失風險降到最低,以免無形中暴露資料,交易時,可以利用將存款放到最小等方式來防範,再者,則是慎選有品牌、知名度的公司來往。
