資訊安全與個資保護 安全宣導 - ptch.org.t ·...
TRANSCRIPT
-
1
代理通路 顧問服務 教育訓練 資安稽核
資訊安全與個資保護安全宣導
資訊安全管理顧問:呂瑋原
代理通路 顧問服務 教育訓練 資安稽核
大綱
前言
資安與個資威脅
電子郵件社交工程
可攜式儲存設備
智慧型行動裝置
雲端應用
-
2
代理通路 顧問服務 教育訓練 資安稽核3
代理通路 顧問服務 教育訓練 資安稽核
真的有那麼嚴重嗎?
4
來源http://map.ipviking.com/
-
3
代理通路 顧問服務 教育訓練 資安稽核
資訊戰爭早已開打
5
代理通路 顧問服務 教育訓練 資安稽核6
-
4
代理通路 顧問服務 教育訓練 資安稽核7
代理通路 顧問服務 教育訓練 資安稽核
醫院有什麼好偷的呢?• 患者隱私
– 病歷資料• 人事資料
– 醫護人員資料
8
-
5
代理通路 顧問服務 教育訓練 資安稽核
案例‐電磁資料
9
代理通路 顧問服務 教育訓練 資安稽核
案例‐紙本資料• 廢棄文件管控失誤○○醫院錯將病歷當便條紙 2011‐08‐05 • ○○醫院被民眾檢舉,服務台提供的便條紙背面竟然是
另一名病患的就診資料,包括姓名、性別、年齡、體重、生日、看診日、及相關診斷與檢查結果,雖然○○醫院事後清查,只有一張病歷資料外流,但對醫院形象已經造成嚴重影響。先就事發原因來看,根據○○醫院行政副院長陳○賢的說法,這張洩露病患隱私的便條紙,很可能是批價單。按照醫院看診流程,電腦列印出批價單之後,正本交給就診民眾、副本則貼在紙本病歷上保存,不過有時因為電腦問題,可能會多印或重印,這些多出來的表單就會被當成廢棄文件。至於廢棄文件的處理也有一定程序。○○醫院將廢棄文件分為機密與一般兩種類別,總務處負責收取各單位廢棄的機密文件,再委託業者銷毀,至於一般文件則做為影印回收紙或便條紙來使用。這次的意外應該是經手人員分錯類別,沒有經院內正常程序銷毀,反而流到志工手中當成重複使用的便條。
10
-
6
代理通路 顧問服務 教育訓練 資安稽核
個人資料保護法簡介
第一章總則(§ 1~14)
第二章公務機關對個人資料之蒐集、處理、利用(§ 15~18)
第三章非公務機關對個人資料之蒐集、處理、利用(§ 19~27)
第四章損害賠償及團體訴訟(§ 27~40)
第五章罰則(§ 41~50)
第六章附則(§ 50~56)
代理通路 顧問服務 教育訓練 資安稽核12
個人資料保護法重點
• 增修行為規範– 增訂醫療、基因、性生活、健康檢查及犯罪前科等五類
資料為特種資料,除符合法定要件外,原則上不得蒐集、
處理或利用‐
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料。
-
7
代理通路 顧問服務 教育訓練 資安稽核
個資去識別化
代理通路 顧問服務 教育訓練 資安稽核14
個人資料保護法修正重點
• 增修行為規範– 書面同意內涵明確化,特定目的外利用個人資料需當事
人書面同意者,應另以單獨書面同意方式為之
– 不論是直接或間接蒐集資料,除符合得免告知情形者外,均須明確告知當事人蒐集機關名稱、蒐集目的、資料類
別、利用方式、資料來源等相關事項
– 違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除或停止蒐集、處理或利用其個人
資料
– 從事商品行銷之非公務機關,應於首次行銷時免費提供當事人表示拒絕之方式
-
8
代理通路 顧問服務 教育訓練 資安稽核
個資法爭議‐兩階段實施
第54條規定新版個資法在施行後1 年內,企業必須以書面告知個資當事人。
暫緩實施。未來修法方向:將1 年內完成告知的方式,改為在企業要使用到個資之前完成告知。
第41 條第1 項規定,若有違反個資蒐集、處理、利用,足生損害於他人者,處2年以下有期徒刑。
如期實施。未來可能修法:針對不同情節的輕重,重新釐清相關的罰則。(非意圖營利除罪化)
第6條規定,包括「醫療、基因、性生活、健康檢查和犯罪前料之個人資料,不得蒐集、處理或利用。」
暫緩實施。未來修法方向:將新增經當事人同意,可以使用敏感性個資的條文。
代理通路 顧問服務 教育訓練 資安稽核
個資法考量的重點
個資盤點及保存(蒐集、處理、利用、種類、數量、型式)
特定目的(5)
告知(直接/間接蒐集)(8,9)
書面同意(7)(電子文件、契約取得、書面)
蒐集(2) 處理(2)
利用(2)
特定目的外的利用(7)
利用目的
利用範圍
書面同意
公開作業∮17
委外管理(7,8)預定蒐集、處理或利用個人資料之範圍、類別、
特定目的及其期間
適當安全維護措施
複委託者、約定之受託
違約通知及補救
保留指示事項
資料返還及刪除
適當安全維護措施(12)• 成立管理組織,配置相當資源。• 界定個人資料之範圍。• 個人資料之風險評估及管理機制。• 事故之預防、通報及應變機制。• 個人資料蒐集、處理及利用之內
部管理程序。• 資料安全管理及人員管理。• 認知宣導及教育訓練。• 設備安全管理。• 資料安全稽核機制。• 必要之使用紀錄、軌跡資料及證
據之保存。• 個人資料安全維護之整體持續改
善。
接受當事人行使權利(3)
查詢 閱覽 制給複本 補充 更正 停止蒐集處理利用 刪除
個人資料檔案維護計畫(非公務機關)個人資料安全維護規定(公務機關‐18) 業務終止後個人資料處理方法
違法侵害之通知(12)
-
9
代理通路 顧問服務 教育訓練 資安稽核
當事人行使權利方式
3.當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制
• 一、查詢或請求閱覽。• 二、請求製給複製本。• 三、請求補充或更正。• 四、請求停止蒐集、處理或利用。• 五、請求刪除。
17
代理通路 顧問服務 教育訓練 資安稽核
當事人權利(2)
• 妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。
• 妨害公務機關執行法定職務。• 妨害該蒐集機關或第三人之重大利益。
公務機關或非公務機關應依當事人之請求,就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本。但有下列情形之一者,不在此限(詳見個人資料保護法第十條):
-
10
代理通路 顧問服務 教育訓練 資安稽核
個資法考量的重點
個資盤點及保存(蒐集、處理、利用、種類、數量、型式)
特定目的(5)
告知(直接/間接蒐集)(8,9)
書面同意(7)(電子文件、契約取得、書面)
蒐集(2) 處理(2)
利用(2)
特定目的外的利用(7)
利用目的
利用範圍
書面同意
公開作業∮17
委外管理(7,8)預定蒐集、處理或利用個人資料之範圍、類別、
特定目的及其期間
適當安全維護措施
複委託者、約定之受託
違約通知及補救
保留指示事項
資料返還及刪除
適當安全維護措施(12)• 成立管理組織,配置相當資源。• 界定個人資料之範圍。• 個人資料之風險評估及管理機制。• 事故之預防、通報及應變機制。• 個人資料蒐集、處理及利用之內
部管理程序。• 資料安全管理及人員管理。• 認知宣導及教育訓練。• 設備安全管理。• 資料安全稽核機制。• 必要之使用紀錄、軌跡資料及證
據之保存。• 個人資料安全維護之整體持續改
善。
接受當事人行使權利(3)
查詢 閱覽 制給複本 補充 更正 停止蒐集處理利用 刪除
個人資料檔案維護計畫(非公務機關)個人資料安全維護規定(公務機關‐18) 業務終止後個人資料處理方法
違法侵害之通知(12)
代理通路 顧問服務 教育訓練 資安稽核
告知‐真的有那麼嚴重嗎?
-
11
代理通路 顧問服務 教育訓練 資安稽核
蒐集前‐告知‐直接蒐集
個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
代理通路 顧問服務 教育訓練 資安稽核
書面同意
• 第十一條:本法第七條所定書面意思表示之方式,如其內容可完整呈現,並可於日後取出供查驗者,經蒐集者及當事人同意,得以電子文件為之。
• 第十二條:本法第七條第二項所定單獨所為之書面意思表示,如係與其他意思表示於同一書面為之者,應於適當位置使當事人得以知悉其內容後並確認同意。
-
12
代理通路 顧問服務 教育訓練 資安稽核
個資法考量的重點
個資盤點及保存(蒐集、處理、利用、種類、數量、型式)
特定目的(5)
告知(直接/間接蒐集)(8,9)
書面同意(7)(電子文件、契約取得、書面)
蒐集(2) 處理(2)
利用(2)
特定目的外的利用(7)
利用目的
利用範圍
書面同意
公開作業∮17
委外管理(7,8)預定蒐集、處理或利用個人資料之範圍、類別、
特定目的及其期間
適當安全維護措施
複委託者、約定之受託
違約通知及補救
保留指示事項
資料返還及刪除
適當安全維護措施(12)• 成立管理組織,配置相當資源。• 界定個人資料之範圍。• 個人資料之風險評估及管理機制。• 事故之預防、通報及應變機制。• 個人資料蒐集、處理及利用之內
部管理程序。• 資料安全管理及人員管理。• 認知宣導及教育訓練。• 設備安全管理。• 資料安全稽核機制。• 必要之使用紀錄、軌跡資料及證
據之保存。• 個人資料安全維護之整體持續改
善。
接受當事人行使權利(3)
查詢 閱覽 制給複本 補充 更正 停止蒐集處理利用 刪除
個人資料檔案維護計畫(非公務機關)個人資料安全維護規定(公務機關‐18) 業務終止後個人資料處理方法
違法侵害之通知(12)
代理通路 顧問服務 教育訓練 資安稽核
個資法考量的重點
個資盤點及保存(蒐集、處理、利用、種類、數量、型式)
特定目的(5)
告知(直接/間接蒐集)(8,9)
書面同意(7)(電子文件、契約取得、書面)
蒐集(2) 處理(2)
利用(2)
特定目的外的利用(7)
利用目的
利用範圍
書面同意
公開作業∮17
委外管理(7,8)預定蒐集、處理或利用個人資料之範圍、類別、
特定目的及其期間
適當安全維護措施
複委託者、約定之受託
違約通知及補救
保留指示事項
資料返還及刪除
適當安全維護措施(12)• 成立管理組織,配置相當資源。• 界定個人資料之範圍。• 個人資料之風險評估及管理機制。• 事故之預防、通報及應變機制。• 個人資料蒐集、處理及利用之內
部管理程序。• 資料安全管理及人員管理。• 認知宣導及教育訓練。• 設備安全管理。• 資料安全稽核機制。• 必要之使用紀錄、軌跡資料及證
據之保存。• 個人資料安全維護之整體持續改
善。
接受當事人行使權利(3)
查詢 閱覽 制給複本 補充 更正 停止蒐集處理利用 刪除
個人資料檔案維護計畫(非公務機關)個人資料安全維護規定(公務機關‐18) 業務終止後個人資料處理方法
違法侵害之通知(12)
-
13
代理通路 顧問服務 教育訓練 資安稽核
個資法考量的重點
個資盤點及保存(蒐集、處理、利用、種類、數量、型式)
特定目的(5)
告知(直接/間接蒐集)(8,9)
書面同意(7)(電子文件、契約取得、書面)
蒐集(2) 處理(2)
利用(2)
特定目的外的利用(7)
利用目的
利用範圍
書面同意
公開作業∮17
委外管理(7,8)預定蒐集、處理或利用個人資料之範圍、類別、
特定目的及其期間
適當安全維護措施
複委託者、約定之受託
違約通知及補救
保留指示事項
資料返還及刪除
適當安全維護措施(12)• 成立管理組織,配置相當資源。• 界定個人資料之範圍。• 個人資料之風險評估及管理機制。• 事故之預防、通報及應變機制。• 個人資料蒐集、處理及利用之內
部管理程序。• 資料安全管理及人員管理。• 認知宣導及教育訓練。• 設備安全管理。• 資料安全稽核機制。• 必要之使用紀錄、軌跡資料及證
據之保存。• 個人資料安全維護之整體持續改
善。
接受當事人行使權利(3)
查詢 閱覽 制給複本 補充 更正 停止蒐集處理利用 刪除
個人資料檔案維護計畫(非公務機關)個人資料安全維護規定(公務機關‐18) 業務終止後個人資料處理方法
違法侵害之通知(12)
代理通路 顧問服務 教育訓練 資安稽核
• 非公務機關之代表人、管理人或其他有代表權人,因該非公務機關依前三條規定受罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰。
26
-
14
代理通路 顧問服務 教育訓練 資安稽核
個資/資料主要外洩管道
• 社交工程1• 惡意/非法軟體2• 可攜式設備(USB/智慧型手機)3• 雲端應用4
27
代理通路 顧問服務 教育訓練 資安稽核
• 社交工程是利用人性的弱點進行詐騙,是一種非「全面」技術性的資訊安全攻擊方式,藉由人際關係的互動進行犯罪行為。
• 以人為本• 手法萬萬種• 技術門檻較低
什麼是社交工程
-
15
代理通路 顧問服務 教育訓練 資安稽核
人性弱點
宴飲應酬
談天聊天
討論業務
炫耀
好大喜功
好奇
29
代理通路 顧問服務 教育訓練 資安稽核
每天的網路行為
• 開機• 點選網頁• 打開電子郵件• ….
-
16
代理通路 顧問服務 教育訓練 資安稽核
電子郵件社交工程
代理通路 顧問服務 教育訓練 資安稽核
廣告‐折價券
-
17
33
釣魚連結
代理通路 顧問服務 教育訓練 資安稽核
色情郵件標題
-
18
代理通路 顧問服務 教育訓練 資安稽核
休閒活動
代理通路 顧問服務 教育訓練 資安稽核
有上述症狀的同仁請注意了
-
19
代理通路 顧問服務 教育訓練 資安稽核
使用者防護停看聽(1/4)• 停 ─ 使用任何電子郵件軟體前,必須先確認
1.執行各種作業系統、應用軟體設定更新2.必須安裝防毒軟體,並確實更新病毒碼3.收信軟體安全性設定
必須以純文字模式開啟郵件必須取消郵件預覽功能
4.防止垃圾郵件設定過濾垃圾郵件機制
5.啟用個人防火牆
2015/4/22 37
代理通路 顧問服務 教育訓練 資安稽核
使用者防護停看聽(2/4)• 看 ─ 開啟電子郵件前應先依序檢視:【寄件者】:若【寄件者】與您業務相關且認識,並確認電子郵件信箱位址無誤,如有冒用偽裝情形,則建議直接刪除該郵件。
【郵件主旨】:• 若【郵件主旨】與您業務無關或主旨怪異,則建議直接刪除該郵件。
2015/4/22 38
-
20
代理通路 顧問服務 教育訓練 資安稽核
使用者防護停看聽(3/4)【附加檔案】:
1. 若【附加檔案】名稱顯示與您業務無關或檔名怪異、錯誤,請勿開啟【附加檔案】或建議直接刪除該郵件。
2. 若有需要開啟【附加檔案】,不得直接點選開啟檔案,應先另存新檔後,再使用相關軟體開啟。
2015/4/22 39
代理通路 顧問服務 教育訓練 資安稽核
使用者防護停看聽(3/4)
• 聽 ─ 若懷疑郵件來源,必須進行確認
–透過電話或電子郵件向寄件人確認郵件真偽
40
-
21
代理通路 顧問服務 教育訓練 資安稽核
• 電子郵件社交工程1• 惡意/非法軟體2• 可攜式設備(USB/智慧型手機)3• 雲端應用4
41
代理通路 顧問服務 教育訓練 資安稽核
軟體‐資安案例
-
22
代理通路 顧問服務 教育訓練 資安稽核
IE的使用
代理通路 顧問服務 教育訓練 資安稽核
版權聲明
44
-
23
代理通路 顧問服務 教育訓練 資安稽核
• 軟體昇級• 業務內需使用軟體?
– 壓縮軟體– 影音撥放軟體…– P2P– APP
• 合法軟體?– 版權– 授權數量
• 自由軟體?– License agreement.
45
代理通路 顧問服務 教育訓練 資安稽核
• 電子郵件社交工程1• 惡意/非法軟體2• 可攜式設備(USB/智慧型手機)3• 雲端應用4
46
-
24
代理通路 顧問服務 教育訓練 資安稽核
BYOD
47
醫護人員可使用相機、攝影機,「醫師會拍攝病灶存檔於病歷。影片若用於教學,須取得病患同意。絕不能未經同意拍攝、侵犯病人隱私。」 律師游開雄說,照片中產婦可依《民法》與《個人資料保護法》求償,「若被害人因此感到痛苦,可請求高額精神賠償。」
代理通路 顧問服務 教育訓練 資安稽核48
外接式儲存裝置
USB隨身碟 (USB 大姆哥)USB外接硬碟數位相機或行動電話記憶卡 (CF、SD、
MMC等)MP3隨身聽光碟片 (CD、DVD)其它 USB 儲存裝置
-
25
代理通路 顧問服務 教育訓練 資安稽核49
USB隨身碟的風險
• 自動播放:尋找Autorun.inf檔案,並執行該檔案所描述之動作,會自動執行惡意程式並將惡意程式複製至系統磁碟機內,再進一步擴散
感染
用戶A 用戶B
擴散
代理通路 顧問服務 教育訓練 資安稽核
因應措施
• 公用隨身碟• 資料加密
50
-
26
代理通路 顧問服務 教育訓練 資安稽核
智慧型手機安全嗎?
51
代理通路 顧問服務 教育訓練 資安稽核
電話安全嗎?
52
-
27
代理通路 顧問服務 教育訓練 資安稽核
智慧型手機防護重點
越獄/root
安裝APP
手機遺失密碼要求
沒有
防護機制
53
代理通路 顧問服務 教育訓練 資安稽核
• 電子郵件社交工程1• 惡意/非法軟體2• 可攜式設備(USB/智慧型手機)3• 雲端應用4
54
-
28
55
雲端運算??
是白雲?
是烏雲?
代理通路 顧問服務 教育訓練 資安稽核
資料的安全性與隱私性
• 資料放在遠端雲端資料中心是否安全?是否容易外洩?如果資料儲存與其他企業共享同一個伺服器,是否妥當?
「匿名者」駭客喬治‧霍茨
-
29
代理通路 顧問服務 教育訓練 資安稽核57
雲端的資訊安全挑戰
• 駭客比你更喜愛雲端– 雲端運算迫使民眾 把自己資料的控制權交給第三者
代理通路 顧問服務 教育訓練 資安稽核
安全性議題-資料保密
• 使用雲端儲存服務時,所有的資料都是交由第三方幫忙儲存,這也意味著雲端服務的提供商有能力去窺探資料。
一旦您使用 Google 服務,即表示您瞭解並同意 Google 可能會存取、保留及公佈您的帳戶資訊與任何與該帳戶相關的「內容」
-
30
代理通路 顧問服務 教育訓練 資安稽核
安全性議題-資料的責任歸屬
• 檔案的刪除– 當使用者刪除了儲存在雲端的資料時,有沒有辦法確認資料真的已經被刪除了呢?像是雲端儲存供應商有沒有可能說謊,沒有刪除資料卻回覆使用者說資料已經被刪除了;或者是雲端儲存供應商因為有將資料進行多份的儲存機制(如Amazon,或是像Google所使用的The Google File System),有沒有可能有漏刪掉其中某一份儲存的資料呢?這個問題對使用者來說很難確認,因為所有的機制都掌握在雲端儲存供應商那邊。
代理通路 顧問服務 教育訓練 資安稽核
• 絕大部分的雲端儲存服務供應商都有完善的備援機制,但「如果真的不幸發生的話怎麼辦?」
-
31
代理通路 顧問服務 教育訓練 資安稽核
• Dropbox– You, and not Dropbox, are responsible for maintaining and protecting all of your stuff. Dropbox will not be liable for any loss or corruption of your stuff, or for any costs or expenses associated with backing up or restoring any of your stuff.
• Amazon– Data that is maintained within running instances on Amazon EC2, or within Amazon S3 and Amazon SimpleDB, is all customer data and therefore AWS does not perform backups.
代理通路 顧問服務 教育訓練 資安稽核
• Google– Google、其子公司及關係企業,及其授權人,就以下事項並未向台端作出聲明或保證:(A) 台端對服務之使用將符合台端需求;(B) 台端對服務之使用將不受中斷,且及時、安全、無錯誤;(C) 台端因使用服務而獲得之任何資訊,皆屬準確或可靠;及(D) 台端連同服務獲得提供之任何軟體所發生之操作或功能瑕疵將獲得改正。
-
32
代理通路 顧問服務 教育訓練 資安稽核
選擇有商譽之供應商
代理通路 顧問服務 教育訓練 資安稽核
設備必需檢視與適度的更改設定
-
33
代理通路 顧問服務 教育訓練 資安稽核
代理通路 顧問服務 教育訓練 資安稽核
如何應因?
帳號密碼安全
公務資料不上傳至公有雲
加密機制
設備必需檢視與適度的更改設定
個人設備之軟體安裝
-
34
代理通路 顧問服務 教育訓練 資安稽核
專家破解Adobe外洩帳號資料,近200萬人使用123456當密碼
代理通路 顧問服務 教育訓練 資安稽核
20組最糟糕的數字密碼• 2011年最糟糕的線上密碼,多數人使用「123456」和「qwerty」當做網路上經常設定的密碼,相信看過報導的你絕對不會再用這些愚蠢的密碼了。不過,人一生中的密碼何其多,還有另一種藏在口袋裡的四位數密碼,如果被解開,帶來的財產損失將會讓你更慘。根據分析業者Data Genetics的調查,研究分析了340萬筆提款卡密碼,你一定可以猜到最多人使用的密碼為何,沒錯!「1234」有11%的人使用,另外「1111」也有6%的人使用。
-
35
代理通路 顧問服務 教育訓練 資安稽核
代理通路 顧問服務 教育訓練 資安稽核
-
36
代理通路 顧問服務 教育訓練 資安稽核
密碼=明碼
代理通路 顧問服務 教育訓練 資安稽核
帳號密碼安全
• 強密碼原則,且不要共用帳號與密碼• 為了方便記憶往往都使用相同的帳號,甚至於連密碼都完全一樣,這讓駭客有機可乘
-
37
代理通路 顧問服務 教育訓練 資安稽核
私密與機敏資料不上傳至公有雲
代理通路 顧問服務 教育訓練 資安稽核
加密機制
• 壓縮加密• 傳輸加密
-
38
代理通路 顧問服務 教育訓練 資安稽核
設備必需檢視與適度的更改設定
• 自動更新• 防毒軟體
代理通路 顧問服務 教育訓練 資安稽核
個人設備之軟體安裝
• 行動裝置注意事項– 來源– 聲譽– 權限聲明
• 電腦主機– 來源– 業務需求– 安全要求(掃毒)– 版權
-
39
代理通路 顧問服務 教育訓練 資安稽核
適當的資安認知宣導
• 智慧型裝置的管理• 人員操作電腦需知• 紙本資料的保存…
77
Technology Process
People
安全管理程序
代理通路 顧問服務 教育訓練 資安稽核
蝴蝶效應
-
40
代理通路 顧問服務 教育訓練 資安稽核
總結
• 個資防護與網路安全必須是一種習慣與文化,而不能只是一種技術與專業。
代理通路 顧問服務 教育訓練 資安稽核80
感謝聆聽 請指教
Thank You