企業資安 - 資安趨勢部落格

以 GDPR 的隱私始於設計 (Privacy by Design) 保障資料安全

2018 年 05 月 14 日2018 年 05 月 14 日趨勢科技 TrendMicro

資料外洩已成為主流資安事件，每次新出現的外洩事件似乎都比之前更嚴重。近期外洩事件的嚴重程度，讓資料保護成為近年來立法領域討論最多的話題，促成了各國的嚴格立法，例如歐盟的一般資料保護規則 ( General Data Protection Regulation ( GDPR) 以及世界各地，包括英國、美國、澳洲及中國。

這些事件的詳細資訊，向大眾展示了他們的個人資訊遭到使用或濫用的各種方式 – 用於分析、精準行銷、公然盜用身分等等。而大眾開始更加關注企業如何收集與保護他們的個人資料。光是去年一年，我們已經看到企業如何儲存資料儲存失當、缺乏適當更新的安全性，並且輕率處理存取權限，導致第三方得以不當使用資料。這個情況顯示，雖然大多數企業已經制訂並改善了資料收集與使用政策，但並未將資安納入考量。

企業資料安全狀況

越來越多的大規模隱私暴露事件以及後續引發的結果，促使企業增加了資安解決方案的開支。根據 Gartner的資料顯示，今年全球資安支出將達到 960 億美元；到了 2020 年，超過 60% 的企業將投資多種資料安全解決方案。調查受訪者表示，這些支出決策背後的主要推動力是資料外洩的風險。

但是部署尖端資安技術，只是周全有效的資料保護計畫中的一小部分。另一個重要部分是改變保障隱私做法的實際方法。涉及個人資料的任何計畫或專案，一開始就必須將隱私納入首要考量，而非將其視為附加功能。企業應該儘早在所有技術、流程及系統的設計階段納入隱私原則，這是一種主動而非被動的避險方法。

企業要如何進行改善？

組織需要採納隱私始於設計 (Privacy by Design) 的架構，在最初階段就對隱私及資料保護問題進行預測及因應。世界各地的主管機關已經體認到這種方法的優點，由近期如 GDPR 等法規的制訂可見一斑。遵循法規是朝著正確方向邁出的一步。遵循 GDPR 不僅是處理歐洲公民資料的必要要求，而遵守規則也為任何收集及處理個人資料的組織樹立了良好的典範。企業若希望將隱私全面整合至其基礎架構中，還應該注意由 GDPR 推動的重要資料隱私原則：資料最少化 (data minimization) 及匿名化 (pseudonymization)。

資料隱私從明確定義兩件事開始：要收集的個人資料類型，以及收集資料的用途。一些組織正在收集超出其真正需要的資料，並用於未明確告知使用者的用途。一種避免這種情況的方式，是資料最少化：僅向客戶收集需要的資料，用於使用者同意的用途，並遵循適當的資料保留政策，或在達成預期目的後刪除資料。

另一方面，匿名化資料能夠讓個人資料無法直接識別出特定人士。要將個人資料連結到特定某人的唯一方法，是將它與分開儲存及保護的其他資料組合在一起。這表示組織仍然可以處理個人資料並繼續為客戶提供服務，同時保護他們的隱私權。繼續閱讀

將工作帶回家，將威脅帶回工作 ?! 連網工作者如何保護家庭與企業網路

2018 年 05 月 11 日2018 年 04 月 26 日趨勢科技 TrendMicro

近期一些嚴重的威脅都是因為員工家用網路及一些公共場所的網路所引起，如：咖啡廳、機場、飯店等等。在家工作者的網際網路連線所帶來的資安漏洞不容忽視。有位員工在下班後將公司筆電帶回家中繼續工作。但該員工的女兒也利用這部筆電來上網讀取自己的電子郵件。很不幸地，該女兒開啟了一封含有 Sircam 的電子郵件，這是一個在網路上散布的病毒。

由於該員工的女兒開啟了病毒郵件的附件檔案，因而使得這台公司筆電感染了 Sircam。更慘的是，該男子並不知情，所以又把筆電帶回公司並連上企業網路。Sircam 因而從該筆電擴散至企業網路。

在目前的企業環境與員工生態下，許多人都會透過各種裝置從各種不同地點存取企業的系統和資產。員工再也不被綁在辦公桌前，許多員工和工作者不是在家上班，就是以其他遠端形式在外工作。

這樣的模式確實帶來不少好處，例如：降低員工相關成本、提高員工的工作滿意度和生產力。也因如此 (以及其他原因)，無怪乎全美國有將近 4 百萬人口一星期當中至少有一半的時間都在家工作。

然而，當企業讓員工能夠從辦公室以外的地點和網路來執行一些營運關鍵的工作時，就必須考慮到某些重要層面，也就是資料安全。

將工作帶回家，將威脅帶回工作

近期一些嚴重的威脅都是因為員工家用網路及一些公共場所的網路所引起，如：咖啡廳、機場、飯店等等。正如 ComputerWeekly 特約記者 Peter Ray Allison 指出，在家工作者的網際網路連線所帶來的資安漏洞不容忽視，而這也是當前資安情勢當中最常被忽略的威脅。繼續閱讀

資料外洩事件必須在 72 小時之內通知! IT 安全對邁向 GDPR 遵規之路有多重要?

2018 年 05 月 10 日2018 年 05 月 11 日趨勢科技 TrendMicro

歐盟通用資料保護法 (GDPR-General Data Protection Regulation) 所強調的重點是企業內的透明、安全與責任歸屬，這其中每一項都對資安造成不同程度的影響，從行動、預防，到減低傷害、監督、資安意識等等。

在這段有關我們如何邁向 GDPR 遵規之路的最新系列影片當中，我們的 IT 安全總監 William Dalton 將說明 GDPR 如何影響趨勢科技在資安上的作法，包括：促使我們從全球觀點來看待資料隱私的管理，以及改變我們對資料外洩事件的對外通訊方式。

GDPR 最重大的挑戰之一就是資料外洩事件必須在 72 小時之內通知，這突顯出資料外洩事件必須明確告知的重要性。為了達成這項規定的要求，我們制定了一些新的程序和作法來讓我們不僅能夠確切掌握是否有資料外洩發生，更能夠在發生時迅速而準確地加以矯正和通報。

GDPR 另一個需要注意的重要領域是必須採用頂尖的防護技術。為了符合這項規定，我們採用了多重技術 (包括趨勢科技自家的多項產品) 來保護客戶資料，協助我們達成法規要求。有鑑於該法規對於網路邊境、資料中心內部以及端點裝置都有資安與隱私的要求，因此採用趨勢科技環環相扣的防護產品，讓我們在需要通報資料外洩事件時更加輕鬆，因為不論事件發生在何處，我們都能夠輕易掌握資安狀況並蒐集必要資訊。

請觀賞這段影片，讓我們的 IT 安全總監為您說明 GDPR 將在哪些層面對資安造成影響，以及採取全球觀點來管理資料的重要性，還有為何您需要頂尖的防護。

系列影片簡介:

銷售和行銷：看我們的營運長 Kevin Simzer 說明我們如何和客戶站在同一陣線，一起邁向 GDPR 遵規之路，以及這個過程能帶來什麼效益。

人事：看看 GDPR 如何影響我們的員工，以及我們如何確保員工真正了解這項法規。

行銷業務：看看我們的行銷業務團隊如何確保所有外部平台上的客戶資料都能受到妥善保護。

產品與服務：聽聽我們的雲端防護資深副總裁 Bill McGee 說明我們如何不斷創新來提供頂尖的產品功能，以及我們如何協助客戶履行其雲端環境共同分擔的資安責任。

銷售與通路訓練：看看讓現有的通路合作夥伴認識 GDPR 有多重要，以及我們如何協助他們找到達成 GDPR 規範所需的工具。

原文出處：Buckle up: The Importance of IT security on the GDPR Journey 作者：Steve Neville

《1987-2018 資安威脅演變史》回顧主動事件應變策略的發展與對企業的意義

2018 年 05 月 09 日2018 年 09 月 19 日趨勢科技 TrendMicro

本文回顧威脅情勢發展上一些促使企業開始採取主動事件應變策略以強化其網路資安防禦的重大事件。

今日的威脅既複雜又猖獗，光靠防範似乎已經不夠。事實上，根據專家指出，威脅已經無可避免。除此之外，再加上網路資安技術上的缺口也使得資安威脅對企業的營運、獲利和商譽帶來龐大的風險。為了因應這樣的情況，企業開始改懸易轍，建置一些主動偵測技術與事件應變策略來強化其防禦。換句話說，企業或許無法完全避免所有的資料外洩或網路攻擊，但卻能夠針對這類可能帶來重大損失的事件做好更周全的準備，進而降低、控制損害並從中復原。

然而，是什麼樣的原因造成這樣的改變？促使企業在網路資安防禦當中加入主動偵測、回應及矯正技術的因素為何？讓我們來回顧威脅情勢發展上一些促使企業開始採取主動事件應變策略以強化其網路資安防禦的重大事件。

1987 年 10 月

Cascade (瀑布) 病毒現身 (德國稱為「Herbstlaub」)，其名稱的由來是：當該病毒啟動時，螢幕畫面上的文字會像瀑布一樣往下墜落到畫面底部。Cascade 當初原本打算避開 IBM 電腦不加以感染，但卻因為一個程式錯誤而讓它幾乎擴散至比利時某個辦公室中的所有電腦。Cascade 病毒的出現，也促使了防毒軟體的問世。

1987 年 11 月

Lehigh (理海) 病毒 (或稱為「command.com」病毒) 感染了 DOS 作業系統開機所需的系統檔案。該病毒是以當初發現病毒的美國理海大學 (Lehigh University) 來命名，是第一個會將電腦資料清除的病毒。為了因應這個病毒，該大學的電腦中心還對全校學生和教職員發出了緊急通告。此外，病毒的作者也通知了其他大學有關該病毒可能帶來的影響。

1988 年

Morris 蠕蟲發動阻斷服務 (DoS) 攻擊並大量散布，根據報導，網際網路上約有 10% 的電腦因而當機。這是當時第一個對網際網路骨幹造成重大影響的病毒之一。這起事件也因而讓人意識到網路緊急事件聯合應變的必要性，促使專家們成立了後來的「電腦緊急應變小組」(CERT)。而 Morris 蠕蟲也為隨後數十年企業所遭遇的惡意程式打下重要基礎。繼續閱讀

GDPR 將是未來 WhatsApp 與 Facebook 共享用戶資料的一個考量因素

2018 年 05 月 04 日2018 年 05 月 03 日趨勢科技 TrendMicro

WhatsApp 已同意不再與其母公司 Facebook 分享用戶的個人資料，靜待歐盟通用資料保護法 (General Data Protection Regulation，簡稱 GDPR) 上路。此外，該公司也同意，如果未來再就其他用途與 Facebook 分享資料，將會遵守 GDPR 的規定。該公司的這項動作是為了回應英國資訊委員會 (Information Commissioner’s Office，簡稱 ICO) 對其資料分享行為的調查。

2016 年 WhatsApp 曾因眾多團體對其更新後的隱私權條款與條件有所疑慮而中止與 Facebook 分享用戶資料的計畫。其新政策當中包括了針對某些用途與 Facebook 分享用戶資料的條款。同年，ICO 針對此案展開全面調查，而法國和德國方面也隨之跟進。

分享資料務必遵守法規

ICO 發現這項資料分享的作法毫無法源根據，而且 WhatsApp 並未充分告知用戶有關其個人資料的被分享狀況。此外，這項資料分享計畫也與現有用戶當初提供個人資料時的用途不符。若當時兩家公司的資料分享計畫成案，將違反英國現行資料保護法 (Data Protection Act，簡稱DPA) 的規定。值得注意的是，目前已經有一個資料保護法修正案 (Data Protection Bill，簡稱 DPB) 正在國會審查，該案將確保未來英國法律不會與 GDPR 牴觸。

ICO 表示 WhatsApp 一案並不會引起罰鍰，因為資料外洩尚未成立。WhatsApp 已保證英國用戶的資料除了就資料處理的用途之外從未與 Facebook 分享。其實 DPA (及 GDPR) 並未「真正」禁止資料分享，只要企業機構遵照法律要求即可。

[觀賞趨勢科技邁向 GDPR 遵規之路的影片：GDPR 個案研究影片]

邁向 GDPR 遵歸之路的步驟

目前，Facebook 和 WhatsApp 已經開始針對 GDPR 進行一些調整。Facebook 已修改了隱私權政策，包括提供一些工具讓用戶控管及保護自己在社群網路上的隱私。同樣地，WhatsApp 也正在開發用戶資料隱私選項。等到這些更新內容推出，使用者就能將自己的帳戶資料下載成一份報告，以符合 GDPR 對資料可攜性權利的規定。ICO 表示未來將持續監控 WhatsApp 將如何修改其隱私權政策以及條款與條件，並持續觀察該公司在使用者同意權更加嚴格的 GDPR 規範底下將如何因應。繼續閱讀