在即將歡欣迎接12月份到來的平安夜,台灣校園似乎不太寧靜,11月兩所台灣頂尖學府陸續發生資安事件。其中包括學生成績遭修改成87分,以及校友擅自變更帳號管理權限,對於保存大量考題、學生分數及人員個資的校園,是一大威脅與挑戰。
日防夜防家賊難防,雖然兩校校方皆表示此次事件人員不小心修改資料或是並無造成實質衝擊,沒有對修改系統資料及帳號權限之人員採取進一步法律行動,不過從案例中可發現兩案都是對於作業流程、資訊系統較熟悉的內部人員(或曾任職過的人員)所為。由於較了解內部系統漏洞或缺陷,而加以利用造成系統資料的輸入變更、輸出變更,及違反電腦操作政策,這也說明了資安要做得好,不只要防範外部來源攻擊,也須避免內部人員誤踩紅線而對組織造成傷害。
以下是常見的電腦犯罪型態
- 資料變更
- 未經授權的系統與資料存取
- 未經允許擅自閱讀他人Email
- 資料破壞
- 資料勒索
- 身分竊盜
- 機密資料竊取與暴露
電腦犯罪通常目的在於取得金錢或純粹好玩,當中前兩項資料變更及未經授權系統與資料存取即是本文校園資安個案的類型,管控組織內部人員在之難度也相對較高,更須留意。
參考國際標準 降低資安管控風險
資安難以做到百分之百完美。對於內部人員管控上可參考的方式是:
- 進行人員教育訓練
- 落實帳號權限盤點
- 制定密碼長度及複雜度之規範
依重要性控管(82法則),以下將管控措施連結 ISO 27001附錄之編號供讀者可進一步參照,分別列示如下:
- 將人員日常作業與資訊安全意識作結合,避免人員疏失或故意行為對組織造成衝擊(ISO 27001 A7.2.2 使用者安全認知及教育訓練)
- 帳號權限也應定期在人員異動或具有管理權限的特權帳號加以管控,在人員調職或離職時,盡速將帳號鎖住或移除,避免存取資源被誤用,若發現未經授權之使用者時,系統管理員應立即停用該帳號(ISO 27001 A9.2 使用者存取管理)
- 密碼是使用者身分驗證的常用模式,建議在長度(例如八碼以上)、複雜度(例如須包含特殊符號、英文大小寫)上有所規範外,也要避免密碼變更有規則可循,而遭到暴力破解(brute-force attack),如同本文個案中曾於學校圖書館任職的人員即表示密碼太好猜而登入系統並變更帳號權限(ISO 27001 A9.4.3 通行碼管理)
世界經濟論壇(WEF)年度全球風險報告顯示資料保護風險日漸提升,本文案例也說明了資料保護的重要性,應可作為借鏡的案例,資安管控不只要對外防護,對內部人員之潛在風險也應留意,在合乎資源成本效益下妥善分配管控資源,持續提升資安能量。
-
更多資訊請參考:
領導力企管官網:http://www.isoleader.com.tw
資安相關資訊及課程銷售諮詢: service@isoleader.com.tw / 0800-222007
素材來源: Background vector created by freepik - www.freepik.com
COMMENTS