雲端、備份、個資事件中 「人」不可不防

近日韓國爆發史上規模最大的個資外洩案，據媒體報道導，受害人數高達1,500萬人以上，約佔全南韓持有信用卡總人數的七成左右，甚至連總統朴槿惠與聯合國祕書長潘基文的個人資料都一併外洩。其事件影響震驚全南韓，造成國民銀行信用卡公司、樂天信用卡公司與農協銀行信用卡公司三大信用卡公司的執行長同時一起宣布請辭以示負責。

據南韓時報報導，金融監督院一名官員表示，個資外洩共16家銀行中標，外洩的總筆數高達8,000萬筆，甚至有可能超過1億筆。回顧整起事件，這三大信用卡公司，委託了一間民營的南韓信用評價公司(Korea Credit Bureau；KCB)開發了一套「FDS系統」，以防範信用卡被盜、偽造及竄改。但KCB一名負責改善客戶資料系統安全的39歲朴姓技術員監守自盜，2012年及2013年多次利用系統開發與系統備份之便，輕易的就以USB隨身碟，從3家信用卡公司的資料庫複製信用卡資料攜出，並且將這些個人資料轉賣給直銷、貸款廣告等公司。

而整起事件當中，出問題的環境就是「人」，透過人為的方式進行系統備份，而導致個資外洩。本起事件外洩個資包括了：姓名、住址、電話、南韓社會安全碼、電子郵件、銀行帳號、信用卡ID號碼、薪資、每月刷卡紀錄、信用評等及婚姻狀況等，目前已有民眾要對三家金融公司提出集體訴訟，打算求償每人1億1,000萬韓元(約新台幣308萬元)，預料這將是眾多訴訟的第一波。

行政院資安辦公室於2014年2月13日舉行異地備援說明會時指出，平時在系統備份時，建議有自動加密備份解決方案，避免人為疏失，在備份的同時就直接可以對資料作加密到其目的地。日後只要有解密之存取動作，系統都會有記錄可供查詢，這樣一來，就可以防止IT人員監守自盜，也避免公司蒙受重大的損失。

台灣近期也有戶政系統之相關資安問題，讓大家同時思考雲端安全、備份機制與個資防護的重要性。台灣雲端安全聯盟教育訓練組長指出，雲端需以服務為主之應用才為真正的雲端架構；但安全雲端就需建立在私有雲的保護機制下。

國研院國網路中心備援研究計畫主持人提出，備份需做為天災之應急準備，可於一日內完成即可；備援需每日執行，並且建議於40分鐘左右之時間可讓異常系統回復為佳，不過實際需要符合的回覆時間，企業需要考量到該業務對於實際營運的影響與衝擊，再進行適度的調整。資料保護協會理事長指出：「有檔案就有個資，今日不怕檔案外洩，但若重要的個資檔案外洩，則無法估計相關損失。」

類似人為出錯的資安事件層出不窮，韓國信用卡事件、hTC商業間碟案、台灣戶政系統出包等事件，若有必要把資料交給第三方單位處理的狀況，也應要明訂出嚴格的資料保護政策與存取流程，方能真正防範與嚇阻相關之資安事件重演。