網站上雲端就一定是安全的嗎?
- 鄭惠如/台北
-
中華民國資料保護協會理事長指出,近3年來的議題仍離不開雲端、個資與資安。近期有很多時事與政治議題都與資訊安全問題息息相關,如縣市政府的網站個資外洩、網路銀行的客戶資料外洩,及台灣與菲律賓漁船事件引起的網站攻防戰等,但處理網站問題的優先等級應為個資、資安,接著才是雲端防護。
其中,網站個資問題的影響層面最大,試想如果菲國總統府網站出現官員個資資料時,那也同時代表著該單位的資安和雲端架構出了相同嚴重的問題,因此網站個資的問題是極為嚴重的。
其次為網站資安之問題,例如網站被置換網頁、掛馬或置換圖片等,損失的除了網站的內容服務外,失去的更是存取網站服務的信心度,若登入一個常被入侵的網站做金融或身分認證服務,相信大家都會內心惶恐不安。
最後網站的雲端安全,也是非常重要的問題,採用雲端服務可以讓網站存取更有效率,也讓使用這更快速的存取網站,但雲端的資安防護已經日益成熟,於基礎架構(Iaas)中就應考量整體效率的問題。
鈊保資訊邱志傑技術經理曾經掃描過超過1,000個教育網站與100個政府網站的經驗後指出,網站分資料公開區與保護區,公開區之部分個資大多並沒有嚴重個資外洩之疑慮,大部分為公開之資訊如承辦業務姓名、電話、地址與聯絡方式等。但網站保護區的個資若外洩,無論是防護不當或駭客入侵,都是受個資法保護的一部分,則將會有民事與刑事之責任。
所以要導入雲端,就必須重視其安全性,雲端環境之安全是企業極為重視的問題,為了防止惡意程式的攻擊、資料洩漏及駭客入侵等問題,雲端安全的重要性便不容忽視。若在使用雲端運用時,無法讓資料安全有一定的保護,那麼導入雲端則有可能因安全狀況產生困擾。
最後,CSA台灣雲端聯盟也發表雲端應用安全的相關建議,引用於中文版CCSK教材中的第4章所述:
˙當從事供應商,涉及適當的法律,採購和合約客戶組織範圍內的團隊,服務的標準條款可能無法滿足法規性需求,將需要進一步的進行協商。
˙高度管制的行業(例如:金融,醫療等)專門的法規性要求時,應該考慮使用雲端服務。
˙確定現有的法規性要求在雲端服務使用,特別是這涉及到資訊安全都將受到影響。受影響的政策和程序包含活動報告、記錄、數據保存、事件回應、控制測試和隱私政策等。
˙遵守法律和行業法規,其要求如:法律、技術、法律、法規性、風險性和安全性。
˙任何資訊處理。傳輸、儲存或瀏覽個人身分訊息(PII)或私人資訊應做適當的監管。
