台灣近期又陷入多起零售與交通行業的個資外洩之亂,受駭企業均遭到駭客入侵盜取大量個資,並收到恐嚇勒索,有部分企業因未交贖金而被駭客於媒體爆料。KPMG安侯企業管理(股)公司董事總經理謝昀澤表示,過去台灣經常被駭客盯上的焦點熱區是金融、製造和上市櫃大型企業,但趁其他多數企業還在吃瓜看熱鬧的時候,駭客也迅速移轉攻擊對象,到台灣一般中小型企業上。駭客產業也隨時代轉型,現已有了更細緻化的分工。上游由「網路狙擊手」先「代攻」竊取資料後,交由中游的「數據販子」分批、分時於暗網中兜售。最後經「下游」的「取款車手」,以各種心理戰、媒體戰專業恐嚇企業交付贖金取款,並同時製造斷點,是近年最常見的模式。

謝昀澤分析近期的受駭事件,描繪出受駭者的特徵,包含資料庫重要的欄位未加密、技術人員錯誤的安全設定,及未能及時修補弱點等。除上述缺陷外,更值得重視的是,在某些近期零售業個資外洩的事件中,本應該最被嚴加安全保護的資料庫,不但已丟失資料內容外,連資料庫系統的內部管理介面也暴露在外部網路。這個現象顯示,企業整體網路架構與資料存取控制,出現了巨大的危機,形同被駭客接管。

謝昀澤觀察到,在台灣企業資安能力強弱懸殊的現實下,可分為對資安敏感,有能力預先蒐集情報,並掌握產業鏈整體風險的「真知卓見組」,例如部分的半導體與金融業公司;但也有誤認有裝防毒軟體、防火牆,就是完成資安的「自我感覺良好組」;甚至已被外部通報個資外洩,而不知所措,只會重新安裝系統的「資安神經麻痺組」。謝昀澤認為,未來「挑軟柿效應」將更顯著,一些把資安當作「選配」的企業,被入侵暴雷事件將更頻繁,這些企業會面臨「駭客霸凌」、「輿論炎上」、「商譽崩塌」的三重壓力。目前駭客光顧的高壓熱區,以交通觀光、百貨零售業、及網路服務等擁有消費者巨量個資的行業為主。

另外,隨生成式人工智慧的普及化,除了應用在文字圖片生成、程式碼撰寫外,被駭客利用於進行網路攻擊,也加劇了未來風險的發生。雖然如ChatGPT等聊天機器人都宣稱設有安全道德圍牆,使用者想要產出惡意程式碼或內容,「理論上」會被拒絕,但安全機制是否會被「翻牆」或「越獄」,仍然值得擔心。

謝昀澤舉例,如使用者直接要求ChatGPT提供十個系統漏洞資訊,企圖挖洞偷襲,將被系統的安全與道德圍牆攔截,以漏洞會被利用於網路攻擊為由拒絕回答。但在使用者懇切說明,自己擔任資安管理員角色,請ChatGPT提供系統漏洞資料,以預先檢查並且修補漏洞。在這個情境下,ChatGPT可能會被成功誘導,而回覆了詳實的資料。謝昀澤提醒,生成式AI,可以是「生產利器」,也恐成惡意者的「網攻武器」,企業的資安防護,更需要與時俱進。

KPMG安侯企業管理(股)公司執行副總經理林大馗建議,企業當務之急,必須先由獨立第三方,針對資安體質與現況進行詳細的健康檢查,並盡速辨識並修補漏洞。如對資安採高標準的企業,更可參考2022年最新版國際資訊安全標準的技術控制措施,透過如資料庫加密機制,讓駭客鋌而走險得手的資料喪失利用價值;或透過較為積極的資料外洩防護技術(DLP)措施,來管制員工資料存取與轉送的行為。

林大馗也強調,除了使用先進的工具、前瞻的資安國際標準外,現代化的企業要把資安視為「標準配備」,更要重視基本功,優先針對員工安全意識、資訊人員技術能力、資安政策與管理流程等多方面,積極進行補強。

Jason Hsieh

KPMG台灣所顧問部營運長、安侯企業管理(股)公司董事總經理、安侯數位智能風險顧問(股)公司董事總經理

KPMG in Taiwan

Email

林大馗
KPMG安侯企業管理(股)公司執行副總經理
E:tonilin@kpmg.com.tw
T:(02) 8101 6666 #15320