个人资料保护委员会筹备处隐私科技组组长林逸尘在今年台湾资安大会中,说明企业可参考PDCA检视自身资料保护措施是否有做到,并以MFA提高使用者的身分安全。
「许多人会问个资保护与资讯网路安全到底有什么关系?答案是两者之间有关系!」,个人资料保护委员会筹备处隐私科技组组长林逸尘在今年资安大会上这么说。
在日常生活中,个人隐私资料无所不在,近几年运动健身盛行之下,物联网、个人穿戴装置兴起,运动健身App搜集个人运动数据,使用者分享运动的热点,这个行为看似和资安无关,但如果再结合更多其他资讯,可能使得原本保密的军事基地位置被曝露出来。
林逸尘以美国NIST的隐私框架1.0为例,目前已释出1.1版本草案,在该版本的草案中,网路安全风险与资安事件相关,资料的CIA(Confidentiality, Integrity, Availability),资料的机密性、完整性、可用性,破坏资料的机密性是未经授权或意外传播个人资料,破坏完整性是未经授权更改资料,例如骇客入侵窜改资料,影响资料的完整性,破坏可用性则是破坏资料正常的存取运用。
隐私风险则和隐私事件有关,指的是资料在搜集、处理、利用的过程中产生的风险。资安事件可与隐私发生交集,即资安事件可能涉及隐私风险议题。
美国NIST SP800-53提出资讯的控制措施,对应于隐私框架中,让外界知道如何运用这些措施确保资料的机密性、完整性、可用性。
当资料发生风险的机会愈高、严重程度愈高,资料搜集者(企业)就需要通知资料主体(使用者)可能受到风险的影响,并且向主机单位通知,例如先前知名交通服务业者发生用户资料外泄,向用户通知可能产生的影响,并且得向主管机关通报,先前国内医院被骇的案例,影响到病患资料的机密性、可用性。
林逸尘表示,资料的机密性、完整性及可用性的意涵,包涵在国内的个资法第27条,对于非公务机关保有个人资料档案者,应采取措施,以防止个人资料被窃取、窜改、毁损、灭失或泄漏,业者需要采取技术及组织上的相关措施,不论业者的规模大小,业者需要说明在11项要素做了什么,若业者无法说明做了什么,或是说明不够清楚则可能受罚,依据个资法第48条,如果发生的事件严重且不改正,最高可能处1,500万元罚锾,已接近于金管会对金融业者的裁罚。
资料保护的PDCA四步骤
林逸尘指出,对于资料及资安保护采取PDCA四大步骤,规画(Plan)、实施(Do)、检查(Check)、改善(Adjust),数发部产业署在2023年提出详细的PDCA各步骤要求,可供企业参考之用,只要公司内有资讯系统,除了要符合资讯服务业者的PDCA四大步骤,还需要遵守各自业别的法律规定及资料保护要求。
在PDCA的细项要求中,包含了组织性和技术性的要求,组织方面,例如要设置专门管理的单位,执行资料盘点、风险评估、法遵、教育训练、稽核等等,当不幸发生资料外泄事件,必需通知当事人及主管机关。另外,事件发生后,采取补救改正的措施也相当重要。
采用MFA提高骇客攻击门槛
在PDCA里,实施(Do)要求企业需确保资料安全、人员安全、设备安全,林逸尘表示,只要企业有资讯系统及资讯设备,对个资进行存取、新增或修改,就需要符合资料安全、人员安全、设备安全的要求。
对于技术性的控制措施,身分验证、鉴别、权限控管相当重要,其中在身分鉴别方面,除了传统使用的帐号及密码,近几年倡导使用MFA(Multifactor Authentication)多因子验证,利用两个以上的身分鉴别因子搭配进行验证,例如SMS简讯、OTP、通行码或识别码(PIN)、卡片、生物特征、活体特征等等。
CISA将MFA分为三种类别,一种是使用SMS或语音的MFA,另一种是使用App的MFA(例如OTP),第三种为防止网钓的MFA(例如FIDO或Public Key Infrastructure)。
林逸尘表示,鉴于网路钓鱼攻击手法盛行,目前已有不少采用MFA多因子验证的情境,例如企业的旅游管理入口网,除要求用户输入帐号密码,也要求用户在手机上安装身分验证应用程式,从App取得OTP,以多因子验证使用者的身分。
他也以个资委员会筹备处收到的三个案例,骇客利用撞库攻击,利用取得的甲网站帐号密码,来测试登入乙网站,其中一个案例是运动报名网站,业者监控发现网站出现异常流量,多组来自境外IP的暴力攻击,所幸被防火墙挡下;另一个交通会员系统,则是发现有心人士透过其他管道取得民众的个资,登入其会员系统,使用其点数兑换商品券。
防范的技术性的措施,例如要求用户设定长密码,或是企业限制IP,都会造成用户的不便,林逸尘认为最好的方式是采用MFA,避免干扰用户,同时也增加攻击的难度。
采用MFA不同的因子安全性高低有别,根据资安院的研究,使用生物特征的安全性最高,但成本也比较高,使用电子凭证的安全性及成本次之,而使用通行码的安全性最低,但使用成本较低。
值得注意的是,过去常使用的SMS简讯或OTP作为MFA验证的因子,但是许多研究证明SMS或OTP可能受到中间人攻击,因此采用MFC,因此,林逸尘也建议应该将因子安全性高低纳入考虑,例如采用电子凭证或生物特征,甚至是将更多的因子绑在一起,提高攻击的难度。