蔡英文總統高喊「資安即國安」,但層出不窮的個資外洩、駭客攻擊案件,證實這個理想的消失。
繼華航、微風個資外洩後,台灣資安破洞衝擊,連消基會高層都難倖免。消基會副董事長徐則鈺告訴《聯合報》,他近日竟然也接到詐騙電話,對方精準說出姓名、電郵、下單誠品所購買的商品內容和日期,讓他差點上當,他義憤填膺地說,政府無積極作為,「個資法賠償金額低、團體訴訟還設有限制,」「所以沒有企業會怕!」
目前,台灣每月約新增3千至5千名民眾「受駭」,暴露在遭詐騙與認知戰風險中,有7成2企業供應鏈曾遭遇勒索病毒襲擊、陷入勒索病毒入侵風險。
無論政府、企業 早被駭客測完一輪
2022年本報獨家報導「1支手機毀人生」的詐騙事件後,局勢更趨嚴峻:台灣在中美台局勢動態中,網路攻擊更為頻繁。本報調查盤點發現,台灣關鍵基礎設施舉凡能源石油、航空公司,到民營企業如華航、微風、iRent,再到半導體供應鏈如台積、廣達等科技廠商,早已全面被駭客「測試一輪」,無論國家級網攻或勒索軟體、駭客攻擊,台灣毫無資安抵抗力。
政府失能、企業失責,讓設備遭駭、個資外洩,成為基礎破口。
「去年10月底,我在誠品線上購買1本書,結果11月中就接到詐騙電話,能明確地說出書名與購買時間。」買書沒多久後就接到詐騙電話,楊先生對此非常驚訝與氣憤,「這代表誠品的資安、個資外洩問題根本沒有改善,而且幾乎已經到即時被盜取的階段。」
在台灣,像楊先生一樣,因企業個資外洩而接到詐騙電話的情節,天天上演,民眾不勝其擾。
知名電商平台全遭駭 詐騙成為日常
根據來電辨識軟體Whoscall統計,2022年,Whoscall全年攔阻高達46萬通短碼形式(如 283617)的詐騙電話,這個數據較前1年暴增3倍。
至於透過+886開頭撥打的詐騙電話,主要則是假冒博客來、誠品、金石堂等書店,以及世界展望會、伊甸基金會、華山基金會等社會福利機構詐騙民眾。在個資外洩威脅下,Whoscall表示詐騙量呈數倍飆升。
Whoscall的統計數據與刑事警察局不謀而合;根據刑事警察局出具的統計資料顯示,2022年前5大高風險賣場分別是博客來網路書店、旋轉拍賣、蝦皮拍賣、誠品書局、迪卡儂。
據刑事局統計,全般詐欺(包含一般詐欺、網路詐欺)在2022年的財損數高達近70億元,創近5年來新高。其中又以網路詐騙增長最為迅速,去年全年通報的網路詐騙案將近7千件,財損金額逾20億元,較5年前大幅升高4倍,達上萬人受害。
除台灣2300萬戶政個資遭駭外流,據Whoscall調查統計顯示,台灣65%手機資料也外洩,若以我國20至65歲人口共1600萬人推估,全台1040萬人的手機號碼資訊也落入駭客手中,平日恐遭詐騙、戰時將遇認知和假訊息戰。
缺乏資安意識 民眾受駭卻無感
「政府、企業、人民,資安意識都不夠。」資安大廠奧義智慧創辦人吳明蔚感嘆。
近年來,吳明蔚多次協助竹科半導體大廠,解決勒索軟體困境。他指出,網路上每日有超過50萬支最新的惡意程式、50萬個新的釣魚網站,但不只暗網上已有台灣2300萬民眾個資,如今駭客還會緊追「政府政策動向」,行釣魚、勒索或詐騙之舉。
例如,農曆春節連假前,流竄全台的最熱門手機詐騙簡訊是,「數位發展部恭喜你!政府發放$6000還稅於民,如何快速領取請點擊下面連結:......」嚴峻的程度,甚至讓行政院發言人羅秉成召開記者會,強調政府並未發送該簡訊,要求民眾切勿上當。
要求民眾勿上當,治標不治本,因許多電郵、手機的外洩也肇因於公司和政府機關網域被駭客滲透。
因應國家級網攻 為何沒有資安護盾?
台灣因地緣政治與區域鄰近性,經常遭受各種新式資安攻擊,已是國際資安攻防熱區,據統計,台灣政府機關每月平均受到3000萬次以上的境外網路攻擊、各組織去年每周遭攻擊3118次。
強調「資安即國安」的台灣,至今尚未打造完整的資安護盾。
問題一:企業缺乏責任感 不投資人才設備
問題一,是企業缺乏資安意識及社會責任,不願投注更多經費,組建專職資安團隊、更新設備、加強防禦。
美國最大金融服務機構摩根大通,2019年就宣布,未來每年斥資6億美元添購設備、更新軟硬體、招募資安人才,以因應駭客威脅。
但據IThome統計,台灣大型企業2022年資安投資,平均每家企業預算僅新台幣715萬元,即使政府機關和金融業的預算稍高,平均亦僅約兩千多萬元。即使如台積電、玉山金、聯發科等「優等生」,去年宣布斥資上億台幣強化資安,亦難達一呼百應之效。
與國外企業相較有巨大懸殊,證明許多台灣企業未將防駭視為己任。
雖然數位部積極幫助政府機關導入T-Road資料傳輸機制,但公部門人員未改變習慣採用T-Road機制,老是採用傳統的USB、燒光碟傳輸資料,導致有心人士從中攔截資料甚至外洩;政府在完善政府機制、立法、資安人才培養、要求企業當責上,皆未採取積極行動。
民營企業輕忽己責,已讓台積創辦人張忠謀、副總統賴清德、內政部長林右昌、台塑董事長林健男等台灣重要人士個資外洩。
問題二:政府無鐵腕 個資外洩企業未受懲處
台灣也未曾有企業因個資外洩遭受嚴峻懲處。
例如iRent此次個資外洩,導致40萬人的手機、電郵暴露於風險中,儘管該公司已致歉並以時數折抵券慰問用戶,但政府僅要求限期改正,否則依個資保護法處新台幣2萬元以上、20萬元以下罰鍰。
相較之下,2019年,英國航空曾因個資外洩,遭英國官方判處年營收1.5%、高達1.83億英鎊、約新台幣64億元罰金。當時英國資訊委員會(ICO)主席Elizabeth Denham公開指出,企業未保障個資免於損失、 毀損或被竊,法律必須明確要求企業克盡職責,失職者將面臨嚴格審度。
安永管理顧問公司總經理萬幼筠感嘆,歐美是依營收按比例懲處,讓廠商心生警惕,「台灣個資外洩罰個20萬,購買一個功能最簡易的企業資安防護軟體要50萬,難怪企業不會把錢花在資安上。」
萬幼筠痛心疾首地說,個資到處外洩,勢必引爆經濟市場大災難,政府之責就是該指導、防護、管理並責成企業。
未來戰爭主打「混合戰」(融合傳統、政治、網路和不對稱作戰),當美國、中國大陸、歐洲、烏、俄都在拚「資安軍備競賽」,台灣資安還得補破網,個資外洩後的一連串惡性循環與外溢衝擊,正要發酵。