【生活法律】資安事件的預防

▍生活議題法律講解：資安事件的預防

特別來賓：台北地檢 蕭奕弘檢察官

這幾年來，發生好幾件資安事件，比如勒贖病毒、DDOS攻擊，以及個資外洩，都造成社會的紛擾以及相當的損害。資安就是國安，今天的生活法律，我們來談談怎樣避免發生資安事件

▍主題QA

真的有駭客想要入侵我們嗎？

今年5月4日，中油公司因為系統中了勒贖病毒，導致資訊系統異常；7月22日，穿戴式裝置、GPS的公司Garmin也中了勒贖病毒，導致系統停擺好幾天。這些愈來愈常見的中毒事件，是偶發，還是真的有駭客以政府機關或大公司為目標？駭客真的在我們身邊嗎？

今年8月，美國司法部起訴5名中國籍駭客、2名馬來西亞業者，受害的單位、機構跟公司超過一百個、遍佈全球，包括遊戲公司、電信產業、大學、非營利組織等等。

其中，起訴書提到兩件跟台灣有關的事件，2019年有一家大學遭到入侵，駭客取走67000張的學生照片跟姓名。2020年5月4日，一家台灣能源公司被勒贖病毒將公司的資料加密。

調查局的示警

今年8月19日，調查局也發布新聞稿，表示在最近幾件政府機關資安事件的調查中，發現中國駭客組織長期滲透政府機關及資訊服務商，模式大概都是先鎖定存在，但尚未修補漏洞的路由器設備。比如，有做韌體更新，或沒有更改出廠設定等，透過漏洞入侵後，控制設備作為中繼站。

另一方面也攻擊訊服務供應商、政府機關對外服務網站，滲透內部網路，破解員工的遠端連線的帳號密碼，或是寄送寄送帶有惡意程式的釣魚郵件等。

調查局也提供11組惡意的網域名稱。

現代駭客的手法： APT攻擊中油的駭客組織稱為APT-41，APT的全名是Advanced Persistent Threat (進階持續型威脅)。這類攻擊手法的駭客潛伏的時間很長，可能是好幾天、好幾週、好幾個月，甚至好幾年。低調、緩慢、有耐心的等。通常透過釣魚網站、社交工程作為開始。所以，中毒，並不一定馬上發作，駭客會很有耐心的等著突破點。

該怎麼預防？

駭客攻擊的方式，大概有兩個主要類別，以人為目標，透過社交工程、網路釣魚、取得帳號密碼，取得資訊系統的控制權。以系統為目標，利用系統的漏洞沒修補、出廠設定沒修改、密碼強度不夠等缺陷，入侵系統。

要能避免這兩種情形，最重要的是：系統隨時更新大部分的資安事件，其實都來自已經公開、揭露的漏洞，但使用者並沒有即時更新的情形。

舉例來說，2017年5月發生大流行的勒贖病毒WANNACRY，造成很多損失。有些人一開機，什麼都沒做，電腦就中毒，重要檔案被加密鎖住。

實際上，這個病毒是利用一個微軟作業系統的漏洞，這個漏洞允許遠端電腦執行程式碼。不過，微軟在2017年3月14日發布更新修補漏洞，但許多電腦並未更新。如果可以即時更新，可以減低許多災情。

預防網路釣魚

網路釣魚，是社交工程的一種，透過聳動、吸引人的郵件標題或訊息，引誘人點開有毒的連結，是駭客最常用的手法之一。所以，看到陌生來信、奇怪連結，千萬不要亂點喔，不然可能會因此中毒。每個機關、公司的每一部電腦的資訊安全都很重要，出現破口就可能給駭客可乘之機，進而影響整個機關跟公司。

密碼強度要夠、要多樣化

如果密碼強度不夠，或是跟身分關聯，容易被猜出，就有可能被輕易的猜出而入侵。另外，我們使用的資訊系統、網站，加一加至少數十種，假設其中有家公司因為駭客入侵，把帳號密碼取走，就可能被駭客拿來使用到其他的系統。
為了避免這種情況，使用不同的系統平台，像是臉書、Google、IG等，除了密碼強度要夠外，每一種系統最好都使用不同的密碼，當然這個密碼要記得住，建議可以把相類似的邏輯使用到不同系統中，讓自己更容易記住。

▍YOYO Live Show 生活法律與法庭(歡迎訂閱/重聽)

apple podcast
spotity podcast