臺灣企業資料外洩案發現場

自從美國的個人資料處理廠商ChoicePoint在2005年爆發資料被竊事件開始，資料外洩事件就陸續爆發，像是CitiFinancial的磁帶在運送過程中遺失，使得近4百萬筆帳戶資料外洩，另一家處理信用卡的公司，則被竊取了近4千萬筆信用卡用戶資料；在2006年，美國退役軍人事務部則因為一臺筆記型電腦被偷，而導致2千8百萬筆退役軍人的個人資料外洩。據Privacy Rights Clearinghouse這個追蹤個人隱私情報組織的統計，從2005年2月ChoicePoint事件爆發開始，截至2006年12月，美國民眾的個人資料外洩的總數已經超過1億筆。

然而不僅只是美國如此，全球的資料外洩事件像是滾雪球一樣越滾越大，上個月，英國政府爆發最大宗的個人資料外洩事件，有2片內含2千5百萬筆英國民眾個人資料的光碟片，在寄送的過程中遺失了，而且這兩片光碟內的資料完全沒有加密保護，任何人拿到都可以讀取這數千萬筆的個人資料；然而，事隔1個月，英國政府又再度遺失內含個人資料的光碟片，這次有6千萬筆車籍資料外洩。

臺灣目前雖然仍未爆發數量龐大到上千萬筆的單一個資外洩事件，但資料外洩事件近來層出不窮，今年9月刑事警察局破獲一宗駭客組織竊取個人資料的案件，在這個駭客組織查到2百多萬筆網路服務商的客戶電子郵件帳號與密碼，以及數十萬筆網路論壇的使用者帳號、密碼、住址等個人資料。

最近，線上購物網站也陸續爆發個資外洩事件，然而，這些被報導的資料外洩事件仍只是冰山一角，有更多資料外洩事件的受害者不願對外曝光，實際情況絕非我們所看到的，資料外洩事件的嚴重性也絕非我們所想像的。

本期的封面故事，我們報導企業資料外洩事件。我們採訪有多年資安鑑識經驗的顧問林宏嘉，從他提出的幾個代表性案件，我們就不難理解資料外洩是多麼容易發生，因為各個環節都有可能會造成資料外洩，因而要防範資料外洩也就不是部署設備而已。

為了要讓讀者感受到企業機祕資料外洩事件有多嚴重，員工外洩機祕資料有多容易，我們決定把這幾個真實發生在臺灣企業的資料外洩事件給寫出來，讓你近距離感受到這個問題的嚴重性。

由於浮上檯面的資料外洩事件，主要原因都是因為駭客有心竊取，很容易讓人把資料外洩事件跟駭客入侵畫上等號；有能力防範者，如果對此有所誤解，可能會把防護的主力都放在網路及主機的防護，而疏忽了人的問題；沒有能力防範者，面對駭客入侵也常會有鴕鳥心態，既然自身的技能比不上駭客，反正做什麼也都於事無補。這樣的誤解都會讓防範資料外洩更加難解。

防範資料外洩就像做好資訊安全管理一樣，非得從「人」「科技」「流程」三個環節同步下手不可，少了任一個環節，就會出現漏洞而造成防護瓦解；為了杜絕資料外洩伴隨而來的嚴格的管控措施，絕對會造成員工的反彈，你該怎麼說服員工呢？或許你可以去中國花3塊人民幣買一本臺灣高科技公司研發資料的影印本，讓員工理解資料外洩是這麼容易、這麼真實；或者，你可以告訴他們本期封面故事所報導的企業資料外洩案發現場。