###### tags: `資安` `個資` `金融` # 個資資安風險與事件對應 Author: 陳詰昌 Email: power.shell@gmail.com ## 一、資安風險管理 ### 1. 風險 * 定義: 影響目標達成的不確定因素 * 正向: 機會 * 負向: 威脅(對目標造成衝擊) * 舉例:騎摩托車的風險是什麼? * 未定目標: 車禍、未戴安全帽被開單、下雨天被淋濕 * 確定目標(準時上班): 車禍、車子故障、沒油 ### 2. 目標 #### 資安目標(資訊資產) * FISMA * 機密性: 資料不外洩 * 完整性: 資料不被改 * 可用性: 想用就可以用 #### 個資目標 * 符合法規: 個資法及相關法律 * 偏向行為規範 * 機密性: 不外洩 ### 4. 資訊資產 #### 資產 * 對組織有價值的東西 * 有形的:硬體、軟體 * 無形的:聲譽 #### 資產系統 * 資料 * 個資: (參5點)蒐集告知、取得同意、蒐集最小化、善盡保護責任、開放客戶參與(被遺忘權)、出事告知 * 企業專有資料: 營業機密(產銷人發財) * 電腦系統 * 作業系統 * 軟體 * 網路 * 資料中心 * 人員 * 流程 ### 5. 個人資料 * 個資法第2條 * 指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。 * 僅限自然人，法人及非自然人不在保護範圍 * 可以直接或間接方式識別該個人之資料 * 直接: 姓名、身分證字號、護照、聯絡方式 * 間接: 透過不同資料比對可得知 * 舉例: 某部門女性同仁染疫，如該部門僅一位女性同仁，則可能違反個資法 * 個資法第6條 * 特種個資 * 病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料 #### 6. 資產(盤點)重要性 * 資產盤點與分類 * 業務價值: 對業務來說重要性 * 購入成本: 機敏性 * 個資盤點 * what?(個資盤點) where?(來源) why?(目的) who?(利害關係人) how?(流程) * 成本效益考量 * 控制與價值要相當 ### 7. 資訊系統威脅 * 外部因子對資訊資產會造成非期望之狀況或事件發生 * 破壞、洩漏、竄改 * 無法阻止威脅發生。僅能管理及減緩威脅 * 威脅分類 * 天災: 地震、水災 * 人為錯誤: iRent事件 * 惡意行為: 內部惡意員工、竊取資料 * 評估方式 * 發生機率或可能性 * 資安威脅 * 實體災害 * 自然災害 * 基礎服務 * 電磁干擾 * 資訊破壞: 通訊攔截、遠端監控 * 技術錯誤: 設備發生錯誤、軟體功能失效 * 未經授權行為: 使用盜版軟體、未經授權使用的設備或軟體 * 功能破壞: 使用錯誤、拒絕行動 * 個資威脅(法規面) * 蒐集告知/目的 * 同意 * 蒐集保存 * 利用與揭露 * 正確性 * 安全性... ### 8. 系統弱點 * 達到安全狀態的缺陷、錯誤與差距 * 任何與系統設計、執行、軟體程式、缺乏防禦機制相關弱點 * 弱點是內部因子，可以在自己平台內進行控制 * 弱點會被威脅所利用 * 機房蓋在地下室，弱點就是地勢低 * 水災 * 弱點可分為人員、程序與技術(軟硬體) * insider、意識不足 * 控制流程疏漏 * 軟硬體設計缺失 ### 9. 舉例 * 威脅場景=威脅源 + 威脅事件 * 威脅利用弱點對資產造成衝擊 * 曝險 = 威脅發生機率 * 事件造成後果 * 風險就是威脅成真的機率 * 一項弱點若不存在威脅則無所謂風險 ### 10. 風險管理 * 風險管理1234 * 1大目標:降低風險達到高層可以接受程度(風險容忍) * 2大程序:風險評鑑(Assessment)與風險處置 * 3大步驟:風險識別、風險分析與風險評估(Evaluation) * 風險識別 * 是否與目標有關 * 風險分析:不確定性/衝擊決定曝險與風險敞口(risk exposure) * 排序 * 風險評估 * 決策，決定哪些風險需要處理 * 4大絕招:風險規避(A)風險轉移(T)風險減降(M)接受風險(A) ### 11. 風險分析 * 期望值法(量化) * 金錢損失、人命、時間、 * EF(Exposure Factor):資產在事件中損失的比例 * IT機房在火災中伺服器毀損率100% * SLE = AV * EF(曝險因子) * ALE = 損失 * 發生機率 = SLE * ARO * 單一風險1年發生3次，ARO發生機率等於3 * 單一風險3年內發生過1次，ARO發生機率等於0.33 * 單一事件 * 德爾菲式(質化) * 聲譽損失很難量化 * 基於經驗估算  ### 12. 風險處置 * 避免(Avoid): 發生機率高、衝擊高，風險過高，選擇不做 * 減緩(Mitigate): 發生機率高、衝擊較低，安全控制降低風險。 * 轉移(以鄰為壑): 發生機率低、衝擊過高，保險轉移風險。 * 資安保險可以轉移損失 * 資安保險無法轉移聲譽損失 * 接受: 風險容忍值內。 ### 風險控制 * 作業控制(operational control):實踐與程序增加安全性 * 滲透測試 * 使用標準作業程序(SOP) * 技術控制 * 系統、設備、軟體或設定用來達到CIA要求 * 防火牆、IDS、IPS、防毒軟體與端點防護EDR * 最經濟有效(cost-effective)及最有效(effective) ## 二、資安與個資法規 ### 1. 目的:使金融機構有一致性基本系統安全防護能力 * 金融機構辦理電腦系統資訊安全評估辦法 * 金融機構資通安全防護基準 * 金融機構辦理電子銀行業務安全控管作業基準 ### 2.個資法相關:採適當之安全措施與行為規範 * 個資法第27條 * 個資法第12條 * 金管會指定非公務機關個人資料檔案安全維護辦法 * 第10條 * 電子商務服務系統應採安全措施 * 監控及因應機須定期眼臉與檢討改善 * 第6條 * 事故發生後應變、通報與預防機制 * 通報時限:72 hr ### 3.個資法告知義務 * 蒐集告知 * 直接蒐集 * 間接蒐集 * 外洩告知 * 案例: 雄獅旅行社 ## 三、資安事件應變 ### 事件處理生命週期 ### 1.準備階段 1. 風險評鑑 2. 組建團隊 * 資訊/資安主管 * 資訊系統管理者 * 資安人員 * 法務人員 * 人資人員 * 涉及內部員工 * 公關客服人員 * 供應商(網路服務、系統、資安公司) * 司法人員 3. 訂定事件處理目標 * RTO(Reovery Time Object): * MTD(Max Tolerable Downtime):最大可容忍停機時間(業務單位訂) * RPO(Reovery Point Object):最大資料可丟失的時間落差 * Cold site * Warm site * RTO: 30min - 72hr * PRO: >0 sec * Hot site * RTO: 30sec - 30min * RPO: ~0 * Mirror site * RTO: 0-30 sec. * RPO:~0 4. 訂定復原策略與計畫 * 事件分級 * 處理程序 * 啟動條件 * 權責分工 * 緊急、備援、復原程序 * 通報窗口與程序 5. 演練與通報 * 教育訓練 * 安全意識 * 演練形式 * 桌面演練 * 模擬演練 ### 2.偵測與分析 * 檢傷分流 * 判斷真偽 * 優先順序 * 通知記錄 * Call tree ### 3.隔離、移除與復原 * 隔離災害範圍(停損) * 識別與解決弱點(根除) * 回復服務與資料(系統) * 重建系統 * 補丁與防毒 * 更新密碼 * 強化安控 * 重新檢測分析漏洞 * 證據保全 * 回復利害關係人信心 ### 4.事件後活動(報告檢討、學習與證據保存) * 事件報告與檢討 * 5W1H * when 何時發生? * where 從哪裡來? * who 攻擊者(被害企業可歸類，司法機關個化) * what 造成衝擊 * why 原因 * how 如何發生? * 報告內容 * 優點與缺失 * 改進建議 * 損失估算 * 如何避免再次發生?(找出根因、防止再發生) * 應變計畫控制措施審視與更新(反省檢討、持續改善) * 定期與不定期檢討 * 實體環境 * 安全性、技術性 * 人員更迭 * 維護廠商 * 法規遵循 * 業務流程 ## 四、案例 ### DDOS攻擊 ### 2023年華航個資外洩案