資料外洩 - 資安趨勢部落格

為 GDPR 做好準備：強化易受攻擊的郵件系統

2018 年 05 月 15 日2018 年 05 月 15 日趨勢科技 TrendMicro

歐盟通用資料保護條例（GDPR）的目的是保護歐盟居民的個人資料，無論位在何處。該法規強制企業遵守關於如何收集、儲存和使用資料的隱私規定，包括數位識別資料（如電子郵件地址），通過郵件交換的訊息及郵件聯絡人列表（大多數電子郵件都涵蓋在“GDPR”所要保護的“個人資料”內）。

趨勢科技2018年第一季封鎖了近95億筆的威脅 – 其中有82%與電子郵件有關

電子郵件對企業來說是特別脆弱的一環，因為它是一種溝通工具，同時也是網路犯罪份子最愛用的威脅載體。趨勢科技的Smart Protection Network在2018年第一季封鎖了近95億筆的威脅 – 其中有82%與電子郵件有關。

電子郵件會成為主要的攻擊途徑是因為這是種無處不在且被廣泛利用的通訊方式。根據市場調查公司Radicati Group在2017年所進行的研究顯示，該年每天發送了2,690億封電子郵件。除了數量外，電子郵件也被各種人士所使用，從年輕學生到跨國企業執行長都有。它已經成為日常生活的一部分，人們經常會打開電子郵件，滑動內容或點擊連結。網路犯罪分子也利用這樣的習慣來嘗試各種手法攻擊使用者：

網路釣魚(Phishing)：
這是種古老卻仍被廣泛應用的攻擊方式，網路犯罪分子會冒充公司同事來向目標受害者索取個人資料或帳號內容。網路釣魚有時也被用來取得深入企業網路的權限。電子郵件只是網路釣魚攻擊的眾多形式之一。
變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱BEC)：
在BEC詐騙中，網路犯罪分子會入侵高階主管的電子郵件帳號，並且試圖誘騙員工或財務長將資金轉到詐騙用帳戶。
垃圾郵件（Spam） :
垃圾郵件是另一個老舊但仍在使用中的技術。根據我們在2016年的調查結果，有71%的勒索病毒透過垃圾郵件散播。網路犯罪分子會製作看似合法的電子郵件（從工作相關郵件到行銷郵件都有）加上附加惡意檔案或連結。可以用來散播各種惡意軟體來危害使用者或企業的系統。

繼續閱讀

以 GDPR 的隱私始於設計 (Privacy by Design) 保障資料安全

2018 年 05 月 14 日2018 年 05 月 14 日趨勢科技 TrendMicro

資料外洩已成為主流資安事件，每次新出現的外洩事件似乎都比之前更嚴重。近期外洩事件的嚴重程度，讓資料保護成為近年來立法領域討論最多的話題，促成了各國的嚴格立法，例如歐盟的一般資料保護規則 ( General Data Protection Regulation ( GDPR) 以及世界各地，包括英國、美國、澳洲及中國。

這些事件的詳細資訊，向大眾展示了他們的個人資訊遭到使用或濫用的各種方式 – 用於分析、精準行銷、公然盜用身分等等。而大眾開始更加關注企業如何收集與保護他們的個人資料。光是去年一年，我們已經看到企業如何儲存資料儲存失當、缺乏適當更新的安全性，並且輕率處理存取權限，導致第三方得以不當使用資料。這個情況顯示，雖然大多數企業已經制訂並改善了資料收集與使用政策，但並未將資安納入考量。

企業資料安全狀況

越來越多的大規模隱私暴露事件以及後續引發的結果，促使企業增加了資安解決方案的開支。根據 Gartner的資料顯示，今年全球資安支出將達到 960 億美元；到了 2020 年，超過 60% 的企業將投資多種資料安全解決方案。調查受訪者表示，這些支出決策背後的主要推動力是資料外洩的風險。

但是部署尖端資安技術，只是周全有效的資料保護計畫中的一小部分。另一個重要部分是改變保障隱私做法的實際方法。涉及個人資料的任何計畫或專案，一開始就必須將隱私納入首要考量，而非將其視為附加功能。企業應該儘早在所有技術、流程及系統的設計階段納入隱私原則，這是一種主動而非被動的避險方法。

企業要如何進行改善？

組織需要採納隱私始於設計 (Privacy by Design) 的架構，在最初階段就對隱私及資料保護問題進行預測及因應。世界各地的主管機關已經體認到這種方法的優點，由近期如 GDPR 等法規的制訂可見一斑。遵循法規是朝著正確方向邁出的一步。遵循 GDPR 不僅是處理歐洲公民資料的必要要求，而遵守規則也為任何收集及處理個人資料的組織樹立了良好的典範。企業若希望將隱私全面整合至其基礎架構中，還應該注意由 GDPR 推動的重要資料隱私原則：資料最少化 (data minimization) 及匿名化 (pseudonymization)。

資料隱私從明確定義兩件事開始：要收集的個人資料類型，以及收集資料的用途。一些組織正在收集超出其真正需要的資料，並用於未明確告知使用者的用途。一種避免這種情況的方式，是資料最少化：僅向客戶收集需要的資料，用於使用者同意的用途，並遵循適當的資料保留政策，或在達成預期目的後刪除資料。

另一方面，匿名化資料能夠讓個人資料無法直接識別出特定人士。要將個人資料連結到特定某人的唯一方法，是將它與分開儲存及保護的其他資料組合在一起。這表示組織仍然可以處理個人資料並繼續為客戶提供服務，同時保護他們的隱私權。繼續閱讀

資料外洩事件必須在 72 小時之內通知! IT 安全對邁向 GDPR 遵規之路有多重要?

2018 年 05 月 10 日2018 年 05 月 11 日趨勢科技 TrendMicro

歐盟通用資料保護法 (GDPR-General Data Protection Regulation) 所強調的重點是企業內的透明、安全與責任歸屬，這其中每一項都對資安造成不同程度的影響，從行動、預防，到減低傷害、監督、資安意識等等。

在這段有關我們如何邁向 GDPR 遵規之路的最新系列影片當中，我們的 IT 安全總監 William Dalton 將說明 GDPR 如何影響趨勢科技在資安上的作法，包括：促使我們從全球觀點來看待資料隱私的管理，以及改變我們對資料外洩事件的對外通訊方式。

GDPR 最重大的挑戰之一就是資料外洩事件必須在 72 小時之內通知，這突顯出資料外洩事件必須明確告知的重要性。為了達成這項規定的要求，我們制定了一些新的程序和作法來讓我們不僅能夠確切掌握是否有資料外洩發生，更能夠在發生時迅速而準確地加以矯正和通報。

GDPR 另一個需要注意的重要領域是必須採用頂尖的防護技術。為了符合這項規定，我們採用了多重技術 (包括趨勢科技自家的多項產品) 來保護客戶資料，協助我們達成法規要求。有鑑於該法規對於網路邊境、資料中心內部以及端點裝置都有資安與隱私的要求，因此採用趨勢科技環環相扣的防護產品，讓我們在需要通報資料外洩事件時更加輕鬆，因為不論事件發生在何處，我們都能夠輕易掌握資安狀況並蒐集必要資訊。

請觀賞這段影片，讓我們的 IT 安全總監為您說明 GDPR 將在哪些層面對資安造成影響，以及採取全球觀點來管理資料的重要性，還有為何您需要頂尖的防護。

系列影片簡介:

銷售和行銷：看我們的營運長 Kevin Simzer 說明我們如何和客戶站在同一陣線，一起邁向 GDPR 遵規之路，以及這個過程能帶來什麼效益。

人事：看看 GDPR 如何影響我們的員工，以及我們如何確保員工真正了解這項法規。

行銷業務：看看我們的行銷業務團隊如何確保所有外部平台上的客戶資料都能受到妥善保護。

產品與服務：聽聽我們的雲端防護資深副總裁 Bill McGee 說明我們如何不斷創新來提供頂尖的產品功能，以及我們如何協助客戶履行其雲端環境共同分擔的資安責任。

銷售與通路訓練：看看讓現有的通路合作夥伴認識 GDPR 有多重要，以及我們如何協助他們找到達成 GDPR 規範所需的工具。

原文出處：Buckle up: The Importance of IT security on the GDPR Journey 作者：Steve Neville

GDPR 將是未來 WhatsApp 與 Facebook 共享用戶資料的一個考量因素

2018 年 05 月 04 日2018 年 05 月 03 日趨勢科技 TrendMicro

WhatsApp 已同意不再與其母公司 Facebook 分享用戶的個人資料，靜待歐盟通用資料保護法 (General Data Protection Regulation，簡稱 GDPR) 上路。此外，該公司也同意，如果未來再就其他用途與 Facebook 分享資料，將會遵守 GDPR 的規定。該公司的這項動作是為了回應英國資訊委員會 (Information Commissioner’s Office，簡稱 ICO) 對其資料分享行為的調查。

2016 年 WhatsApp 曾因眾多團體對其更新後的隱私權條款與條件有所疑慮而中止與 Facebook 分享用戶資料的計畫。其新政策當中包括了針對某些用途與 Facebook 分享用戶資料的條款。同年，ICO 針對此案展開全面調查，而法國和德國方面也隨之跟進。

分享資料務必遵守法規

ICO 發現這項資料分享的作法毫無法源根據，而且 WhatsApp 並未充分告知用戶有關其個人資料的被分享狀況。此外，這項資料分享計畫也與現有用戶當初提供個人資料時的用途不符。若當時兩家公司的資料分享計畫成案，將違反英國現行資料保護法 (Data Protection Act，簡稱DPA) 的規定。值得注意的是，目前已經有一個資料保護法修正案 (Data Protection Bill，簡稱 DPB) 正在國會審查，該案將確保未來英國法律不會與 GDPR 牴觸。

ICO 表示 WhatsApp 一案並不會引起罰鍰，因為資料外洩尚未成立。WhatsApp 已保證英國用戶的資料除了就資料處理的用途之外從未與 Facebook 分享。其實 DPA (及 GDPR) 並未「真正」禁止資料分享，只要企業機構遵照法律要求即可。

[觀賞趨勢科技邁向 GDPR 遵規之路的影片：GDPR 個案研究影片]

邁向 GDPR 遵歸之路的步驟

目前，Facebook 和 WhatsApp 已經開始針對 GDPR 進行一些調整。Facebook 已修改了隱私權政策，包括提供一些工具讓用戶控管及保護自己在社群網路上的隱私。同樣地，WhatsApp 也正在開發用戶資料隱私選項。等到這些更新內容推出，使用者就能將自己的帳戶資料下載成一份報告，以符合 GDPR 對資料可攜性權利的規定。ICO 表示未來將持續監控 WhatsApp 將如何修改其隱私權政策以及條款與條件，並持續觀察該公司在使用者同意權更加嚴格的 GDPR 規範底下將如何因應。繼續閱讀

四萬OnePlus信用卡用戶資料外洩,四招避免成為受害者

2018 年 01 月 20 日2018 年 01 月 30 日趨勢科技 TrendMicro

中國智慧型手機廠商OnePlus證實其線上付費系統爆出信用卡資料外洩事件。起因於oneplus.net用戶投訴在官方網站購物後,信用卡遭到盜刷。這起資料外洩事件影響了2017年11月中至2018年1月11日間在網站上輸入資料的4萬名使用者。

經過調查，OnePlus在網站的付款網頁程式碼中發現了會竊取輸入資料的惡意腳本。不過駭客如何入侵網站則尚不清楚。被竊的資料包括了完整的信用卡資訊：卡號、到期日和安全碼。OnePlus在這之後移除了惡意腳本，將受感染伺服器隔離並強化相關的系統基礎架構。

這起事件並不會影響使用PayPal並經由PayPal進行信用卡交易的使用者。現在OnePlus已經暫停信用卡付款選項，但是仍然接受透過PayPal的交易。與此同時，OnePlus也經由電子郵件來聯繫可能受到影響的使用者，並建議他們向銀行回報信用卡出現盜刷的狀況。

類似OnePlus這樣的資料外洩事件讓私人記錄和其他敏感資料面臨被竊的風險。這不僅影響到企業，還影響了個人資料可能被盜的人。網路犯罪份子可以去存取網路來竊取本地端檔案或遠端繞過網路安全防護來竊取資料。

OnePlus資料外洩事件跟 2014年1月針對Target的攻擊相似，那時駭客入侵賣場網路並感染所有的銷售端點機器。被竊的資料包括PIN碼、姓名和銀行資料，從而讓4,000萬張金融簽帳卡和信用卡面臨盜用的風險。信用卡資料對網路犯罪分子很有價值，因為這些資料用來盜刷獲利，也可以利用個人資料來進行詐騙、身份竊盜甚至是勒索。竊來的個人和財務資料也可以在深層網路內的地下市場批售。

如果你擔心自己成為資料外洩的受害者，可以執行以下四個動作：