企業遭駭,個資大黑洞?
個資外洩已成日常

近期台灣已經發生多起企業將客戶個資外洩的資安事件,日常生活中都暗藏著個資外洩危機......這些您日常生活的事,竟然可以這麼容易就被外洩!

訂機票會員資料被外洩?

某航空公司日前接獲匿名網路勒贖信件,會員資料外洩,受害名人演藝圈、有政治和金融圈皆有。

看電影個資被外洩?

某知名 X 影城顧客個資外洩!客戶接詐騙電話,詐騙集團竟然對受詐騙人之資料「一字不漏」!

上網買書資料被外洩?

某知名連鎖書局個資外洩疑雲,網購買「阿共打來怎麼辦」一書,接統戰電話。

出遊租車被外洩?

某知名共享租車服務iX出現用戶個資外洩的風險,傳出已有好幾萬筆個資外流。

騎共享單車資料被外洩?

有人透過境外IP位址嘗試取得共享單車的會員帳號、密碼,騎乘記錄與使用者帳號所登記的金融卡資料可能曝險。

企業目前遇到那些個資保護挑戰

近來國內企業接連發生重大個資外洩事件,顯示個資保護的重要性,個資保護已經是重要的議題。我們來看以下幾種為企業可能面臨的個資保護之挑戰,而面臨個資外洩風險,在以下章節也會介紹資料庫遮罩如何降低個資外洩。

個資數據外洩風險

企業不論是內部或外部遇到惡意軟體滲透、未經授權的行為、系統漏洞可能都會造成機密資料外洩。可能導致企業名譽受損、法律責任、金融損失與客戶信任的損失。

資安法規遵循要求

隨著資安法規的標準,企業需要確保處理和傳輸的敏感資料符合國際合規要求。例如 GDPR、NIST、PCI DSS 和 HIPAA 等法規等。

內部數據使用不當

企業在內部使用真實數據進行開發、測試、培訓等目的,機敏資料管理不當如機敏資料暴露於權限而且沒有確實管控,也會增加外洩的風險。

用資料遮罩降低個資外洩風險

各大政府機關和大型企業都遭受到駭客攻擊,造成民眾或客戶的個人資料外洩,紛紛接到詐騙電話! 使資安受到正視,針對台灣個資法於今年正式修正,最高處 1500 萬,並設置個資保護獨立監督機關,加強企業對個資的保護!

個人資料保護法修法兩大重點

  • 正個資法第 48 條非公務機關違反安全維護義務之裁罰方式及額度,改為逕行處罰同時命改正,並提高罰鍰上限,處新臺幣(下同)2 萬元以上 200 萬元以下罰鍰,若是情節重大者,處 15 萬元以上 1,500 萬元以下罰鍰。屆期未改正者,按次處 15 萬元 以上 1,500 萬元以下罰鍰。
  • 增訂個資法第 1 條之 1 規定,由個人資料保護委員會擔任個資法主管機關。行政院將積極推動設置個資保護獨立監督機關,以呼應去年8月12日憲法法庭第 13 號判決,要求3年內完成個資保護獨立監督機制之意旨,解決目前個資法分散式管理下之實務監管問題,並與國際趨勢接軌。

    參考資料 : 國家發展委員會https://www.ndc.gov.tw/nc_27_36901

資料庫遮罩的合規性

企業合規不是喊喊而已 ! 元盾資料庫遮罩符合資安法規,資料庫遮罩可作為一種技術手段,用於保護個人資料的安全性。

個人資料保護法

個人資料保護法是台灣的主要隱私保護法規,旨在保護個人資料的安全和隱私。根據這項法規,企業或組織在處理個人資料時需要遵守一系列要求,包括數據安全措施的實施。

ISO27001

ISO 27001是資訊安全管理系統(ISMS)一套完整國際標準,協助企業建立企業組織資訊安全管理系統機密性、完整性及可用性。協助風險評估、找出潛在問題,針對已知風險採預防措施,降低未來資料外洩損失。

GDPR(General Data Protection Regulation)

是歐盟實施的法規,是在歐盟法律中對所有歐盟個人關於資料保護和隱私的規範,並要求企業或組織在處理個人資料時保護其隱私。

HIPAA(Health Insurance Portability and Accountability Act)

健康保險流通與責任法案是美國的法案,主要在保護個人健康資料的隱私安全。此法案要求醫療機構和相關組織保護醫療數據的安全。

NIST(National Institute of Standards and Technology)

國家標準暨技術研究院提供了一系列資訊安全框架和標準,其中包括資料與數據保護相關的指南和建議。

元盾資安資料庫遮罩 解決方案

元盾根據客戶不同的需求,提供兩種資料庫遮罩的解決方案,量身訂做為客戶挑選最適合的資安方案,協助企業機敏資料的保護。

DB Masking 資料庫遮罩

DB Masking 為元盾自主研發的資料庫遮罩解決方案。DB Masking 資料庫遮罩技術架構,在不用修改任何資料庫及應用程式的情況,將資料庫中的個資進行遮罩 ( Mask ),敏感資料自動轉部分資料為隱碼,敏感資料已是遮罩過的,有效保護企業機敏資料外洩,以免客戶資料被盜用詐騙,將敏感資料去識別化。 了解 DB Masking

Data Sunrise 資料庫遮罩

資料稽核 ( Data Auditing )

即時追蹤所有的使用者行為及資料庫的修改異動。有助於發現任何資料外洩的潛在可能性,迅速找到問題的根源,並評估其損害及成本損失。

紀錄使用者行為、資料庫查詢及結果。保存資料庫使用者、user sessions、查詢代碼等。稽核結果將儲存至內建或外部的資料庫,並可導出至像是 SIEM第三方資料管理系統。與 SIEM 系統搭配使用,資料稽核將有助於了解資料庫使用者的行為概況。

  • 即時追蹤使用者行為及資料庫的異動
  • 協助發現資料漏洞,迅速找出漏洞源頭

資料安全 ( Data Security )

保障資料安全,資料庫防火牆攔阻流量,針對未經授權的存取和 SQL injection 進一步分析。根據安全政策:記錄使用者查詢及結果、阻擋 SQL 攻擊或是模糊資料輸出。

偵測到未經授權的存取或 SQL injection 攻擊時,當下可直接以資料庫錯誤的方式阻擋查詢,或者直接禁止可疑使用者存取。威脅解除後,以 email 或即時訊息通知管理者。 資料管理系統。與 SIEM 系統搭配使用,資料稽核將有助於了解資料庫使用者的行為概況。

  • 資料庫流量內容分析
  • 防止未授權查詢 & SQL injection
  • 回報偵測到的威脅

資料遮罩 ( Data Masking )

資料遮罩主要用於第三方人員 ( 例如外包廠商 ) 需要存取資料庫時,馬賽克模糊部分資料,避免被他人得知完整的資料。

當資料庫防火牆偵測到一個資料庫查詢之後,從資料庫輸出敏感資料的時候,利用隨機資料、特殊符號或是看似真實的資料來遮掩。為各種可能的情況 /需求,例如信用卡卡號、電子信箱、日期等,提供專用的遮掩方式。

  • 即時動態資料遮罩
  • 模糊敏感資料的輸出結果
  • 多種特殊資料專用遮掩法
了解 Data Sunrise

想更了解資料庫遮罩嗎?請聯絡我們!

  • 請輸入驗證碼