尼崎市政府與資訊服務公司Biprogy在23日召開記者會坦承過失,說明這次USB遺失可能造成的資料外洩情況,儘管隔日已經尋回USB,但後續在27日也公開針對委外業者未經授權再分包的狀況表明將進行調查。(圖片來源/擷取自富士電視臺)

日本兵庫縣尼崎市政府在6月下旬,發生一起資料外洩事件,是市府委外業者發生疏失,其員工將46萬民眾個資存放USB隨身碟攜出以轉移資料,直到隨身碟遺失,市府召開記者會,使此事曝光,且整起事件持續引發熱議。

在6月23日中午,尼崎市政府與資訊服務公司Biprogy召開記者會坦承過失,Biprogy亦在同日於自家公司網站,發布資安事件公告說明這次資料外洩情況,儘管隨身碟的檔案有加密保護,隔日24日也被當地警方尋回,資料看似未有外流情況,然而,這起事件公開揭露之際,還發生官員缺乏資安意識不足,在尋回USB隨身碟之前,於直播記者會上洩漏密碼線索資訊,橫生其他爭端,後續更揭開資訊業者可能違反合約,並有工作層層轉包給其他廠商的離譜情況。

此事件受到多家國際新聞媒體的報導,不過,該如何確保各種IT業務委外之後的資安,更是大家應該關心的重點。

外包商相關職員擅自攜出46萬民眾個資的隨身碟,發生裝置遺失狀況

這起事件最初主要是尼崎市政府為了因應疫情,向市民發放特別福利津貼,承攬市府業務的Biprogy關西分公司,派出相關員工執行工作時出包,在6月21日下午5時,負責此事的人員將這批資料存放到個人USB隨身碟,打算帶至大阪吹田市進行資料轉移作業,在完成工作後,該職員與另外3名工作同事前往餐廳吃飯喝酒,直到晚間10時30分散會。

隔日凌晨3點,該職員發現自己醉倒在大街上,並意識到攜帶的背包與USB隨身碟遺失,因此向公司請假,尋找未果後向警方報案,並於下午2時通知Biprogy,隨後公司進行調查,並於晚間9時向尼崎市政府報告。

尼崎市官員指出,該員工未經許可將敏感資料以隨身碟帶出辦公室,有明顯缺失,而且,工作結束後也未立即刪除隨身碟的資料。Biprogy亦公布事件影響範圍,可能洩漏的個人資訊,包含:46.5萬市民個資、36.5萬市民稅務資料,以及7萬件領取福利與兒童津貼家庭的銀行帳戶號碼等。他們強調,該USB隨身碟有密碼保護,內容也都經過加密。

但官員在23日記者會接受媒體提問時,又犯了另一個重大錯誤。面對記者追問USB密碼設定的複雜度時,他們未警覺自己發言內容的可公開程度及資安風險,在USB尚未尋回的狀況下,竟不設防地透露了更多線索,而引發民眾抨擊。

例如,媒體一開始問到密碼的組成,是否為只有4位數字的簡單密碼?官員回答當中有13位英數字;接下來,他們問到:密碼採亂數是否可能造成麻煩?官員回答是由有意義的英文單字,加上有意義4位數字組成;關於密碼是否使用「password」這類簡易單字的問題,官員表示,是對尼崎市來說有意義的單字;最後媒體又問到密碼是否有大寫?官員回答首字大寫。這樣的消息傳出,由於尼崎的拼音為Amagasaki,這讓日本民眾紛紛猜測,密碼很可能是Amagasaki2022。

在23日的記者會上,由於尼崎市政府官員回答USB密碼安全強度問題時,透露密碼不容易被猜到,卻提供了相當多且明確的線索。(圖片來源擷取自NTV NEWS24)

 

這讓不少日本網友紛紛猜測密碼很可能就是,Amagasaki2022,因為尼崎市的拼音就是Amagasaki。(圖片來源擷取自Twitter)

Biprogy列出4大問題癥結,說明發生過失的原因

對於這次事件的來龍去脈,Biprogy在24日於官方網站,發出此事件的第二份資安事件公告,該公司坦承,原因出在未按照資訊安全規範操作程序手冊行動,也未經過尼崎市政府確認。

他們同時列出四大問題癥結:一、資料移轉的審核程序未能落實,由於Biprogy並未說明資料轉移的具體方法與電子媒介,因此尼崎市政府不知道會使用USB隨身碟來轉移資料;第二應使用有保障的物流運輸公司,而不是由個人攜帶;第三,完成工作後,USB隨身碟中的資料應該立即刪除,負責執行的員工缺乏這方面的指示與確認;第四,工作結束後USB隨身碟就應該保存到指定的地方,但這方面並沒有相關指示與確認。即便他們對外公開檢討自己犯錯的原因,但並未解釋為何要選擇用隨身碟來轉移資料。

在因應方式上,Biprogy為了找到疑似遺失的包包,派出員工四處搜尋,同時向警方提交遺失報告,向當地行政機關日本個人情報保護委員會報告此事件,並且透過電信業者確認包包中手機位置,以及監控暗網是否有相關資料外流,並說明改善方式,將從管理、營運與訓練三大面向,改善自身公司安全。

政府發包業務竟被委外業者轉包,甚至分包商又再轉包

另一值得關注的焦點是,這次事件的發生,也揭開委外業者擅自外包帶來的資安隱憂。

根據Biprogy公司在6月24日的公告內容,遺失USB隨身碟的關係員工,是分包商的員工,因此不是外傳的尼崎市政府職員,而在記者會上,該公司其實曾透露此人是另一家IT廠商Aifront(株式会社アイフロント)的員工。

到了26日,Biprogy發出更正說明,出現另一個意外的轉折,那就是指出他們將這次相關業務外包給Aifront公司,並解釋了該關係員工的身分,其實是屬於Aifront公司的分包商,因此,這也意味著,遺失隨身碟的人員其實也不是Aifront的員工。

換言之,原本這項特別福利津貼發放業務是由市政府委外給Biprogy,而Biprogy接下案子後,卻擅自將業務委給Aifront,而Aifront又將這部分工作委托另一家公司的人員處理。

然而,這次事件引發的風暴還不是上述兩個狀況。根據日本經濟新聞(Nikkei)在6月27日的報導,尼崎市臨時福利辦公室負責人表示,根據尼崎市與Biprogy的合約,如果Biprogy要將業務分包給第三方,需事先獲得市政府批准。而另一位尼崎市的官員表示,他們並沒有被告知Aifront已將工作外包給另一家公司。

後續,日本時事新聞社(Jiji Tsūshinsha)報導則指出,尼崎市市長稻村和美在28日表示,將仔細審查此事,並會針對承包商採取適當行動,接下來將成立第三方委員會,並會在調查後考慮是否提出賠償要求。

在資訊服務業者Biprogy的官方網站上,自6月23日即發布了針對這次USB遺失造成46萬市民個資外洩的資安事件公告,並在後續陸續更新相關消息,包括24日公布初步調查結果的說明,24日公布USB已經尋回,以及在26日發布資訊更正消息。

在Biprogy在6月24日發布的第二份資料外洩事件公告中,說明了更多初步調查結果、目前行動與未來因應方式,當中也詳細記錄這次事件發生的過程。

簡單來說,一開始是在16日的每週例行會議上決定資料更新作業,到了21日下午5時,由分包商員工將帶有46萬市民的資料存放到USB隨身碟,前往水田市進行資料移轉。

在下午7時30分,作業完成,該職員便與另外3名同仁一同用餐喝酒,直到晚間10時30分散會。

隔日22日凌晨3時,當事人發現自己睡在大街,並意識到遺失了背包與USB隨身碟,之後向公司請假,直到22日下午2時才通知公司。Biprogy則在晚上9時向尼崎市政府報告。

接下來,23日早上11時,尼崎市政府召開記者會並向市民道歉,Biprogy於12時在市政府要求下,參與聯合記者會並說明原委。


熱門新聞

Advertisement