資訊安全及個資保護認知宣導 -...
TRANSCRIPT
博創資訊 http://www.safelink.com.tw
博創資訊科技(股)公司
副總經理 彭至賢 Email: [email protected]
Mobile: 0952-695460 July 21, 2015
資訊安全及個資保護認知宣導
1.
博創資訊 http://www.safelink.com.tw
課 程 大 綱
一、資訊安全緒論 二、社群網路安全新知分享 三、網路釣魚探討與防護實務 四、個人資料保護法簡介(解析) 五、個人資料外洩案例探討
2.
博創資訊 http://www.safelink.com.tw
一、資訊安全緒論
3.
博創資訊 http://www.safelink.com.tw
資訊安全的目標 • 資訊安全防護對象:資料 • 資訊安全的目標:資料的機密性、完整性、可用性
完整性 可用性
機密性
確保可適時提供可用 及正確之資訊
確保資訊隱密性並避免遭到非法存取
確保可提供正確與完整的資訊
4.
博創資訊 http://www.safelink.com.tw
資訊安全-C.I.A.
機密性(Confidentiality)
完整性(Integrity)
可用性(Availability)
確保只有獲得授權的人才能存取資訊。
確保資訊沒有被不當的修改或損毀。
經授權的使用者能適時的存取所需資訊。
5.
博創資訊 http://www.safelink.com.tw
喪失完整性案例 • Yam News 2013.12.20 • 檢偵辦鹽奶粉案,第3度提訊在押被告鄒姓伯母,懷疑她
涉嫌滅證。檢察官發現,嫁到沈家的鄒姓伯母和娘家人合開一個LINE的對話群組,做媳婦的她常在裡面抱怨,說自己小孩衣服被剪破,送緗緗的趴趴熊被丟到陽台,甚至一度罵三字經,揚言要處理對她不好的 人,事後鄒姓伯母卻把對話紀錄通通刪除,一度被懷疑想滅證;但她辯稱,每次看到LINE的對話,有刪紀錄的習慣,否認滅證
6.
博創資訊 http://www.safelink.com.tw
喪失可用性案例 •TVBS 新聞 2014.1.9 •監理單位8日發生電腦全國大當機,洽公民眾從上午8點多,直到下午2、3點,才等到系統恢復,不過浪費超過半天時間,仍引發民怨,一查之下才知道,原來是第二代全國資料中心系統出現異常,導致民眾無法辦理過戶領牌,更離譜的是,這套系統使用年限5年,居然用了20年,光去年8、9兩個月份就發生3次狀況,所幸2月份第三代系統就能上線,讓洽公民眾不再提心吊膽。
7.
博創資訊 http://www.safelink.com.tw
二、社群網路安全新知分享
8.
博創資訊 http://www.safelink.com.tw
LINE詐騙猖獗三個月647人被騙177萬
9. 9.
• 加粉絲團免費送貼圖? 小心個資外洩
博創資訊 http://www.safelink.com.tw
如何避免被裝熟簡訊詐騙與自保之道 • 避免點選來路不明的超連結與下載來源不明的應用程式,建議從可信任的軟體商店(例如google play或Hami Apps)下載
• 若已點選來路不明超連結及下載不明的程式,請盡速將手機恢復成原廠設定
• 主動致電電信業者客服, 取消小額付費服務: • 不要啟動LINE的「公開ID」功能
– 啟動「公開ID」功能,就代表開放所有人都能搜尋到自己,就有可能被詐騙集團「亂槍打鳥」挑中。另外, 也可限制手機通訊錄自動加入好友,不要授權LINE遊戲讀取自己與好友的個人資料,避免在公用電腦登入電腦版LINE,若沒有使用電腦版LINE,要記得關閉「允許其他裝置登入」功能, 都是可以避免LINE帳號被盜的妙方。
10.
博創資訊 http://www.safelink.com.tw
如何避免被裝熟簡訊詐騙與自保之道(續) • 個人帳號與密碼保護之道:
– 請避免與他人共用電腦,或於公用電腦(如網咖、校園)輸入個人密碼或資料。
– 請避免設定容易被破解的密碼,如生日、電話、身分證字號等,並經常更換密碼。
– 輸入資料時請勿選用記憶密碼之功能(不要將密碼告知任何人、或將資料留於容易被他人取得之處,如紙張、電子郵件、MSN、Skype等)。
– 離開座位或交易完畢請養成立即登出的習慣 – 不要被網路通訊軟體裝熟朋友代收認證簡訊 – 隨時察看簡訊,一發現詐騙即向電信公司取消交易 – 安裝防毒軟體
• 若已被盜, 自保權益之道: – 若已被盜, 請務必報警, 才可當作是被詐騙證明,要求電信業者不能列入帳單或是可到臨櫃辦簽結退款。 11.
博創資訊 http://www.safelink.com.tw
Line 安全設定(1) • 定期更改密碼
– 多數用戶都有安裝Line電腦版,並申請一組帳號密碼,如果被植入惡意程式就可能洩漏此帳號密碼
– 建議勿在公用電腦登入Line,設定密碼時儘量有英文和數字混雜以強化密碼,並定期更換,減低被盜風險。
1 2 3
4 5
12.
博創資訊 http://www.safelink.com.tw
Line 安全設定(2) • 通訊錄管理,不亂加好友
– Line等通訊軟體的特色就是會讀取手機通訊錄,自動將聯絡人加為朋友
– 為避免加入不熟的朋友造成尷尬,或避免取得自己的電話號碼的陌生人請求加為好友,建議取消勾選
1
2
3
4
13.
博創資訊 http://www.safelink.com.tw
Line 安全設定(3) • 取消連動中的應用程式
– LINE的遊戲越來越多,很多遊戲自己沒在玩,但因好友在玩,所以常常收到邀請送愛心的通知這類Line遊戲的送愛心社群機制,好友在玩時會要求授權讀取我們和好友的個資,建議最好取消連動中的應用程式
1 2
3
14.
博創資訊 http://www.safelink.com.tw
Line 安全設定(4)
4
5 設定關閉
15.
博創資訊 http://www.safelink.com.tw
預防智慧型手機詐騙宣導(1) • 駭客透過不同管道傳送含有惡意程式網址連結的訊息
– 收訊人點選連結或配合操作,手動安裝惡意APP後手機遭控制 – 盜用電信帳單小額付費服務進行小額付費扣款 – 常見詐騙理由:看相簿、支持按讚、假冒好友要求代收驗證碼假冒商家要求下載安裝程式、取消網上電費支付與快遞簽收單
訊息多透過手機簡訊與LINE
16.
博創資訊 http://www.safelink.com.tw
預防智慧型手機詐騙宣導(2) • 設定手機不允許安裝非市集中的App – 取消勾選「設定」內的「安全性」/「應用程式設定」中「未知的來源」
• LINE開啟「阻擋訊息」功能 – 其他→設定→隱私設定→勾選「阻擋訊息」
– 不會收到非好友的訊息,降低收到釣魚訊息的機率
17.
博創資訊 http://www.safelink.com.tw
預防智慧型手機詐騙宣導(3) • LINE 不公開個人ID
– 其他→設定→個人資料→公開ID
– 避免被陌生人與詐騙集團加為好友
• 沒有使用電腦版 LINE 的用戶,避免駭客取得的帳密後從電腦登入 – 其他→設定→「我的帳號」中「允許自其他裝置登入」
18.
博創資訊 http://www.safelink.com.tw
預防智慧型手機詐騙宣導(4) • 取消電信小額付款機制
– 透過手機撥打電信業者客服,告知客服人員取消服務 – 客服電話:中華電信 800; 台灣大哥大 188; 遠傳 888; 亞太電信 999 ; 威寶 123。
• 養成良好使用習慣 – 使用通訊軟體與社群軟體,切勿使用懶人密碼 – 絕對不要點選傳送來的訊息裡面的連結。若是好友送來的訊息,建議改用其他方式(電話、email)與對方聯絡及確認
– 不隨意提供個人資訊,也不轉告簡訊收到的密碼 – 若需使用小額付款,應啟用「即時消費通知」,若發現詐騙請務必報警,才可作為被詐騙證明,要求電信業者不能列入帳單或可臨櫃辦簽結退款
– 安裝手機防毒軟體
19.
博創資訊 http://www.safelink.com.tw
• 關閉郵件預覽 – 預設顯示信件內文前2行,建議選擇「無」以關閉預覽功能
行動裝置郵件安全設定(iPhone)
20.
博創資訊 http://www.safelink.com.tw
• 關閉郵件預覽 – 預設顯示信件內文前2行,建議選擇「無」以關閉預覽功能
• 關閉預載遠端圖片 – 預設值「○」即關閉預載圖片功能
行動裝置郵件安全設定(iPhone)
1
2 3
4
21.
博創資訊 http://www.safelink.com.tw
行動裝置郵件安全設定(iPad) • 關閉郵件預覽及預載遠端圖片
– 與 iPhone 一樣的操作步驟
1
2
3
4
22.
博創資訊 http://www.safelink.com.tw
行動裝置郵件安全設定(Android) • 關閉預載圖片
– 預載圖片功能預設為關閉,可針對個別寄件者開啟預載圖片 – 建議於「一般設定」中關閉所有寄件者預載圖片設定
顯示圖片 一律顯示這位寄件者所傳送的圖片
1
2
23.
博創資訊 http://www.safelink.com.tw
• Android by HTC關閉郵件預覽功能
• 察看手機是否顯示預覽郵件內容。
• 如右圖紅框內為顯示郵件預覽內容(3行)。
24
行動裝置郵件安全設定(Android)
博創資訊 http://www.safelink.com.tw 25
行動裝置郵件安全設定(Android) 1
2
3
博創資訊 http://www.safelink.com.tw 26
行動裝置郵件安全設定(Android)
4
5
博創資訊 http://www.safelink.com.tw
• Android by HTC關閉郵件預覽功能
• 再查看手機顯示預覽郵件均已消失不再顯示郵件預覽內容。
27
行動裝置郵件安全設定(Android)
博創資訊 http://www.safelink.com.tw
三、網路釣魚探討與防護實務
28.
博創資訊 http://www.safelink.com.tw
即時通訊釣魚 • MSN、Skype、Yahoo Messenge等即時通訊軟體 • 電腦中毒後發送含有惡意超連結的訊息給所有聯絡人 • 聯絡人好奇點選後被植入惡意程式,再重複散播給更多即時通
訊的使用者。
29.
博創資訊 http://www.safelink.com.tw 駭客
釣魚郵件
1 受害者 釣魚網站 真實網站 輸入帳密與驗證碼
6 帳密與驗證碼驗證
7
驗證結果回傳 8
網頁內容由真實網站取得 ,因此真實度100%,帳 號、密碼與驗證碼皆與 真實網站相同
郵件連結內容
內含連結
9
郵件連結內容
取得帳號密碼 10
2 連結Webmail
回傳釣魚Webmail畫面
Webmail畫面請求 3
回傳Webmail畫面 4 5
5 9
1
釣魚流程
30.
博創資訊 http://www.safelink.com.tw
• 利用知名網站的弱點入侵並竄改網頁 • 讓使用者造訪合法網站時被導向假冒或惡意的網站
嫁接惡意網站
合法網站
①駭客入侵 & 網頁掛馬
受害電腦
惡意網站
②瀏覽網頁
③導向惡意 網站
④下載並安裝 惡意程式
⑤竊取資料或 遙控受害電腦
31.
博創資訊 http://www.safelink.com.tw
利用搜尋引擎導引至惡意網站(1) • 駭客提升惡意網址的能見度,使用者上當機率提高
駭客入侵合法網站,在 網頁程式植入轉向指令
駭客在多個網站留下網址, 讓搜尋引擎的蜘蛛程式蒐集
該網址被彙整於搜尋引 擎資料庫,且排名在前
使用者利用搜尋引擎尋找, 惡意網址名列前矛
使用者點選惡意網址,被轉向至駭客網站,下載惡意程式
32.
博創資訊 http://www.safelink.com.tw
• 購買網路關鍵字廣告服務,並於各大入口網站刊登「關鍵字廣告」 • 使用者上網搜尋「網路銀行」等條件時,搜尋結果的上方即出現犯
罪集團之「關鍵字廣告」 。
如果 Google 沒有警示,瀏覽者點選即可能受害
利用搜尋引擎導引至惡意網站(2)
33.
博創資訊 http://www.safelink.com.tw
釣魚郵件
1. 駭客設計攻擊陷阱程式(如特殊Word 檔案)
2. 將攻擊程式埋入電子郵件中
3. 寄發電子郵件給特定的目標
4. 受害者開啟電子郵件
5. 啟動駭客設計的陷阱,並被植入後門程式
6. 後門程式逆向連接,向遠端駭客報到
Internet
7. 遠端駭客進行資料竊取
釣魚郵件攻擊模式
34.
博創資訊 http://www.safelink.com.tw
有效分辨釣魚郵件 • 發信人的名稱或郵件地址
– 是否有異常?需確認發信者的身分 • 電子郵件的主旨與內容
– 與本身的工作、業務是否有關連 • 網頁連結或夾帶附件檔案是否可疑
– 郵件內異常網址連結判斷 • www.acer1.net • www.icstorg.com • 使用不明 IP 代替 URL(如:http://220.33.111.12/)
– 附加檔案之檢查 • 與接收者的業務或工作有關 • 相似的字眼、字串 • 夾帶附件檔案副檔名為常見病毒檔案(.bat、.pif、.exe、.zip、
.src、.cmd、.rar等) • 對於切身相關的電子郵件,若內含威脅、利誘、警告、提
示等訊息內容,應考慮詐騙之可能性。 35.
博創資訊 http://www.safelink.com.tw
四、個人資料保護法簡介(解析)
36.
博創資訊 http://www.safelink.com.tw
你準備好了嗎?
• 你的業務需要處理個人資料嗎? • 你的電腦裡有多少電子檔案嗎? • 你有多少檔案裡面有個人資料? • 你有多少極高風險的個資檔案?
• 如果以上的問題你都無法回答, • 你認為如何可以保護個人資料?
37.
博創資訊 http://www.safelink.com.tw
個人資料保護法整體架構
38. 38.
博創資訊 http://www.safelink.com.tw
個資法立法之目的
蒐集
利用
個人資料
處理
避免人格權受侵害
促進個人資料之合理利用
39.
博創資訊 http://www.safelink.com.tw
個人資料之定義
• 個資法第二條 用詞定義如下: • 個人資料:
– 指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他。
– 得以直接或間接方式識別該個人之資料。 – 當事人:指個人資料之本人(指現生存之自然人)
40.
博創資訊 http://www.safelink.com.tw
特種個人資料
41.
博創資訊 http://www.safelink.com.tw
個資法-規範行為之定義 •蒐集
– 為建立個人資料檔案而取得個人資料 – 取得方式不限,任何方式取得皆為蒐集 – 包括「直接蒐集」與「間接蒐集」。
•處理 – 為建立或利用個人資料檔案所為之紀錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結、或內部傳送
•利用 – 將蒐集之個人資料為「處理」外之使用。
•國際傳輸 – 將個資作跨國(境)之處理或利用。
42.
◎組織內部資料傳送 - 處理 ◎將個資提供第三人 - 利用
42.
博創資訊 http://www.safelink.com.tw
公務機關個資之行為規範
43.
博創資訊 http://www.safelink.com.tw
公務機關特定目的外之利用
44.
博創資訊 http://www.safelink.com.tw
非公務機關個資之行為規範
45.
博創資訊 http://www.safelink.com.tw
特定目的與蒐集目的之關聯
• 個資法第五條 個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
46.
博創資訊 http://www.safelink.com.tw
特定目的 vs 蒐集目的
47.
博創資訊 http://www.safelink.com.tw
姓名
身分證字號
住址
住家電話號碼
行動電話
電子郵遞地址
• 確認身分 • 醫療診斷 • 術後追蹤 • 保健養生
蒐集的目的
特定目的:○六三保健醫療服務
蒐集
處理
利用
個資法第五條 個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
特定目的 vs 蒐集目的
48.
博創資訊 http://www.safelink.com.tw
書面同意
49.
博創資訊 http://www.safelink.com.tw
不適用於本法之情形
50.
博創資訊 http://www.safelink.com.tw
當事人基本權利
51.
博創資訊 http://www.safelink.com.tw
直接蒐集個資-告知之義務
52.
博創資訊 http://www.safelink.com.tw
間接蒐集個資-告知之義務
53.
博創資訊 http://www.safelink.com.tw
告知函範例 • ○○生物科技股份有限公司,秉持臍帶血是救命事業的理念,經
營○○臍帶血銀行,為了提供給您豐富的臍幹細胞及嬰幼兒照護資訊之蒐集目的,需要您的個人資料類別包括:姓名、職業、年齡、胎次、地址、聯絡電話、E-mail等(包含C001、C038等資料類別)。利用期間係本公司營運期間,地區限於台灣,利用對象為本公司,利用方式為郵寄、電話、派遣專人解說、辦理媽媽教室活動、或是其他可以提供給您臍帶血及嬰幼兒照護訊息之通知。
• 您可以依據個資法第3條針對共同蒐集您個人資料之公司,行使以下權利:包含查詢、閱覽、製給複給本、補充更正、請求停止蒐集、處理或利用或刪除。請撥打0800-000-000
• 您可以自由選擇是否提供個人資料,若不願意提供並不會影響您參與本次活動。
• • 當事人簽名: 日期: 年 月 日
54.
博創資訊 http://www.safelink.com.tw
防範個資外洩之法律義務 • 個資法第十八條
– 公務機關保有個人資料檔案者,應指定專人辦理安全維護事項防止個人資料被竊取、竄改、毀損、滅失或洩漏。
– 細則第二十條 公務機關保有個人資料檔案者,應訂定個人資料安全維護規定,其內容應包括第十二條第二項所定事項。
– 細則第二十一條 所稱專人,指具管理及維護個人資料檔案之專業能力,且足以擔任機關檔案資料安全維護經常性工作之人員
– 公務機關為使專人具有辦理安全維護事項之能力,應辦理或使專人接受相關專業之教育訓練。
55.
博創資訊 http://www.safelink.com.tw
舉證責任倒置
56.
博創資訊 http://www.safelink.com.tw
行政責任
刑事責任 民事責任
法律責任之範圍
57. 57.
博創資訊 http://www.safelink.com.tw
刑事責任 個資法並未特別規定,過失之行為須處以刑事處分!
僅處分故意行為
58.
博創資訊 http://www.safelink.com.tw
民事責任
59.
博創資訊 http://www.safelink.com.tw
意圖營利、非法變更
處分自然人為原則, 處分法人為例外!
重大故意行為
60.
博創資訊 http://www.safelink.com.tw
五、個人資料外洩案例探討
61.
博創資訊 http://www.safelink.com.tw
擅寄廣告信-展覽公司負責人起訴
62.
博創資訊 http://www.safelink.com.tw
特力屋電郵擾民-判賠2.6萬
63.
• 蘋果日報 2014-10-15 • 郭姓會計師前年退出大型賣
場特力屋會員,並要求刪除個人資料,特力屋回信允諾,但郭男後續半年內仍收到特力屋電子廣告信共五十二封,不堪其擾,怒告特力屋違反《個人資料保護法》求償十萬元。士林地院日前判決特力屋須賠償郭男兩萬六千元。這是《個資法》上路以來,因廣告信擾人判賠首例。
博創資訊 http://www.safelink.com.tw
預訂搭乘熱氣球 竟收到300筆個資 • 自由時報 2014-06-04 • 台東熱氣球搭乘預訂,自上月15號開放以來人氣爆滿。根據
TVBS新聞報導,民眾陳先生上網預約,收到訂位確認通知時,卻也同時收到300筆左右的遊客完整個資,讓陳先生大呼「蠻shock(驚訝)的」
• 如此重大的疏失,負責熱氣球搭乘活動的「天際航空」卻僅發郵件,表示「致上十二萬分的歉意、會盡快改善、保護每位顧客的資料。」陳先生質疑,隨後的訂位、安排都沒有做得很好,「要怎麼保護呢?」
• 天際航空的主管林佑真表示,在第一時間已將負責承辦的人開除,並會送給這幾位乘客小禮物、以表歉意。台東政府則說,今年是第一次與天際航空簽約,僅能要求業者不要再犯,但對於洩漏個資,卻毫無辦法補救
64 64.
博創資訊 http://www.safelink.com.tw
詐騙老把戲仍有人上當 • TVBS 新聞 2014/04/23 • 前中科院一名從事研發博士,遭詐騙5300多萬!這名66歲,住在
台北市的黃博士,是國內尖端武器研發人才,今年2月剛退休不久,接到詐騙集團來電,對方說他的健保卡被不法集團洗錢,要他領現金管收,黃姓男子先是領了192萬,交給對方,事後又陸續接到自稱是檢調人員的電話,男子前後2個月內,分別到7間銀行領錢,事後才發現,畢生積蓄全被騙光
• 另外,不少民眾最近也收到假冒台電的詐騙簡訊,上頭寫著,您在申請網路支付電費,要求民眾查看電子憑證,對此,台電網頁特別貼出公告,要民眾千萬上當。
65.
博創資訊 http://www.safelink.com.tw
問題與討論
Q and A 博創資訊科技(股)公司
資安暨個資保護資深顧問-彭至賢 Email: [email protected]
Mobile: 0952-695460 July 21, 2015