如果您曾經在訂閱網路服務或下載Apps時毫不猶豫地勾選點同意隱私權選項,那您極可能經穿著國王的新衣漫步在雲端而不知。台灣微軟、台北商業大學及雲端計算學會共同舉辦「你所不知的雲端資訊安全」論壇,從大面向探討被民眾與企業長期忽略的「被遺忘權」與「資料私權」衍生的安議題: 1. 從駭客攻擊層面揭櫫國際十大ecur客攻擊途徑,深究剖析何防範於未然;2. 從法規層面說明國際上關於「被忘權」、「資訊安全」與「隱私」的規範企業應以最新的ISO27018國際雲端全認證準則,來審視目前所用的雲端服是否安全,政府也應加強宣導資訊安全及私權的重要性;3. 教育層面分析國內世代對資訊安全及隱權的認知及行為落差大,潛藏資安風險,倡導安素養應校園教育開始;4. 從業層面呼籲雲端服務供應要自律,並通 ISO27018 國際雲端安全認證,建立可信賴的雲端服務希望藉這幾個層面的分討論與案例分析,起企業及個人對雲端資安全及料隱私的重視,避免陷入雲端危機而不自知。剖十大國際駭客攻擊手法,個人私及企業機密稍一不慎就可能被侵害近年來國際駭攻擊事件推陳出新,常發生十大擊途徑與引發的資安機包括:1. 當企業硬設備運用雲端連結進行資料儲存時,可能遭遇機密資料竊或被盜用危險;2. 客入侵重要交通工具的網路系,可能造成城市癱瘓;3. 智型穿戴系密碼更容易遭竊;4. 匿名或偽造身在網路世界中遊蕩,凸顯企業或個人使用Android 平台的風險; 5. 一個簡單的USB可以完全掌使用者的電腦,提醒使用者留意USB病毒的力; 6. 線系統隨時都可能成為駭客入侵的管道;7. 大規模惡意攻擊程式難以早期偵預防;8. 信用卡公司的個人消費資料遭取做為非法使用9. 網路硬碟如何窺竊個人的隱私;10. 醫療設備系統遭駭客攻擊及生命安全。ISO27018國際雲端資訊安認證五大則,為端資訊安全做更嚴密的把關現段針對資訊安全構面的技術與管理,雖已有詳盡的際化管理規範,例如:ISO27001從硬體軟體,甚至管理者、使用者到接觸者,均有稽核時應注意的重點與要求,為資安提供基本防護構,而BS10012則針對人資料供深度保,而最新的ISO27018則針對雲端服務供應商提出明確的同意權、資料透明度、資料控權、資料可取回與刪除權告知即時溝通與獨立稽核等相關的則:• 明確同意權:除非取得明確的使用者同意,否則不能使用客戶資料進行廣告或行銷用途。• 資料透明度:必須清楚告知客戶資料儲存在何處以及如何管理這些資料。• 資料控制權:必須提供客戶可以自由管理及控制自己資料的權限。• 資料可取回與刪除權告知:必須通知客戶可以隨時取回及刪除客戶自身資料的相關政策。• 即時溝通:必須即時與客戶溝通可能對個資保護產生風險的相關事件與應對之道。• 獨立稽核:必須委請第三方獨立公正稽核單位對雲端服務供應商的合規性進行年度稽查考核。微軟雲端服務通過ISO27018安全認證,是全球第一家取得國際安全認證的雲端服務供應商Microsoft Azure、 Office 365、Dynamics CRM Online及 Intune 等雲端服務都已經將上述的準則加入並通過 ISO 27018 的國際雲端隱私安全認證,且每項雲端服務都已完成由第三單位進行的 ISO 27001 稽核驗證。台灣微軟法務暨公共事務處總經理施立成表示:「將 ISO27018 有關使用者對於資料控制權的國際認證準則加入所有的雲端服務,並通過由第三公正單位進行的 ISO 27001稽核驗證,是微軟透過國際認證具體落實對於客戶隱私權保護的最有效承諾,微軟也是第一家敢對美國政府提起法律訴訟拒絕提供客戶海外資料的雲端服務供應商,微軟將持續承諾在資料保護與建立可信賴的雲端服務上投入更多的資源來確保客戶的隱私不被侵犯與濫用。」台灣新世代的資安素養普遍不足,未來投入就業市場恐成資安未爆彈社團法人中華民國資訊社會推廣協會理事,中國文化大學教育學系副教授陳信助針對全台160所大專院校學生,進行「雲端環境資安與隱私權:使用者行為、觀念與網路資訊素養調查」,由使用行為、反應、選擇與習慣各面向進行1583份的問卷調查。結果顯示大專院校學生是雲端的重度使用者,其中以社群工具(96%)、媒體播放軟體(95%)、網路通訊軟體(94%)、線上購物(81%)與線上遊戲(77%)是大專院校學生熱中的五大網路行為。但對於網路使用行為、習慣及資安與隱私權的基本觀念,以及個資與隱私權可能外洩與不當利用之感知卻相對不足 (超過58%的使用者表示不清楚),甚至有80%的使用者承認曾經安裝或使用過非正版軟體。當中66%的使用者更因此曾經被綁架瀏覽器,高達84%的使用者表示曾經中毒或遭病毒威脅。陳信助副教授表示:「根據這份分析報告的數據可以看出目前台灣大學生這群網路高度使用族群,對於網路資安及自身隱私權的管理能力及素養明顯不足,這些青年學子未來進入企業後將成為雲端資安的未爆彈,教育部及大學應重視『資安素養』的養成。」 國立台北商業大學校長張瑞雄接著強調:「目前國內的學者專家皆認為我們的雲端科技已經走在全球的尖端,但是資訊安全不論是教育的養成或政府法律的保障卻是大幅的落後,這方面確實造成很大的隱憂。建議政府及主管機關應該重視及稽查網路上散播的不實言論、言語霸凌及侵犯隱私等行為;應用軟體供應商更有義務提醒使用者不要忽略自身行使『同意』或『不同意』的選擇權。」國內企業普遍潛藏資安隱憂,應重資安治理降低企業機密、個資及隱私外洩與被盜風險台灣微軟也針對國內中大型企業的法務主管進行資訊安全暨隱私權的訪談,接受訪談的產業型態包括軟體研發、顧問服務、3C硬體製造及半導體等,結果發現企業內部雲端管理及政策落實上確實存在許多無形的隱憂,產學跨界合作也可能因資安與隱私權之認知差距而增加資料外洩的風險,甚至年輕世代 (如大學生) 對隱私權認知的不足也將造成未來進入企業職場銜接上的大問題。資料蒐集與情報應用的價值已被認可,但雲端隱私權的規範目前以「且戰且走」 的心態進行。企業走向雲端已經是不可逆的趨勢,在大數據時代中,資訊的交換、分析和使用將更頻繁,目前企業對於雲端的規範及具體實施強度不一,中小企業甚至是連員工隱私都可能因為管理不當造成各式各樣的問題,這都是台灣目前對於雲端資安與隱私管理的挑戰。施立成指出:「企業應該了解資訊是公司的無形寶貴資產,而資安治理即是對無形資產之保護,企業選用雲端服務時,應選擇通過國際雲端安全認證的雲端資訊平台,建立信任網絡,提高資安及隱私的警覺,而雲端服務供應商也應從自身的自律做起,為客戶及消費者進行資安的把關。」唯有民眾及企業及早對資安威脅有所警覺,做好自身的防護準備並確實了解與慎選雲端服務供應商提供的隱私權選項,才能夠安心地享受雲端帶來的便利。
Source: technet.com