宏碁、華碩、宏達電… 資安,不能只是紙上遊戲
分享分享留言列印
A-A+
2016-06-23 02:47 聯合報 李婉萍/資安研究人員(台北市)


近日宏碁美國網站遭駭客盜取三萬多名客戶之資料,其中亦包括部分客戶的信用卡資料,受影響的區域包括美國、加拿大及哥斯大黎加。隨著電子商務與各種數位及網路應用越來越普及與重要,相類的攻擊企圖,相信只會更多。

其實今年初,台灣另一電腦巨擘華碩,以及兩三年前美國宏達電,亦均曾因為其資安問題,與美國聯邦貿易委員會(FTC)達成和解。比起宏碁這種單純僅是被入侵的案件,華碩和美國宏達電的案件似乎更值得注意。

在華碩的案子裡,根據FTC的聲明,華碩一方面未採取適當的措施,以確保其所生產的家用路由器及其相關雲服務運行軟體的安全性,導致使用者的資訊可輕易被駭客所截取;但華碩卻仍然在行銷時強調產品安全無虞,宣稱其產品可保護使用者免於未經授權的存取和病毒攻擊。

FTC也提及,華碩在許多實際的被駭案例中均未能及時處理補救,也沒有通知使用者相關訊息或有更新版的軟體可供下載,甚至在有軟體可供更新時,仍然告知使用者其所使用的已經是最新的軟體(換言之,也就不會進行更新)。

在美國宏達電的案子,FTC則指出美國宏達電擅自移除手機及平板上安卓作業系統內建的安全機制,且在發展其自有行動裝置軟體時也沒有合理的注意資安及隱私要求,置數以百萬計的使用者於重要資訊外洩風險中,此外也沒有對工程師做適當的資安訓練,以在撰寫程式或產品測試時遵循資安實作程序或排除資安風險。

單純的駭客入侵當然要尋求技術上的解方,但從企業治理和策略發展角度來說,資安從來就不該只是軟硬體是否足夠的問題。從華碩和美國宏達電的案子看來,包括員工訓練、對受害者的即時通知,甚至廣告安排都應是管理的對象。企業在面對資安問題時該怎麼做,或許FTC和上述企業間的和解協議可作為企業把資安納入公司治理及策略發展時的思考重點:建立一套完整的資安管理制度,定時對制度的落實進行稽核檢查。而且,當然得要玩真的,而不是只是紙上遊戲。
arrow
arrow
    全站熱搜

    Andk 發表在 痞客邦 留言(0) 人氣()