機敏國安資料外流　中華電子公司或專案外包可疑性最高

近日傳出中華電信包括國軍、外交部，乃至總統官邸對面電路圖等機敏資料，被駭客打包在暗網販售，台灣科大資管所主任查士朝對此指出，初步看來應是子公司或是外包做專案的單位外洩可能性比較大，未來除要增加資安人員編制外，更應採取「資料導向」的管制模式。

去年底，曾發生暗網販售全台1.7 億筆個資，甚至傳出正副總統資訊在內，刑事局分析應是編造資料，近期再傳暗網販售機敏資料文件與採購合約等公文。

台灣從民間、電信公司、政府資訊外洩情形嚴重，政府高喊資安即國安，卻不斷發生破口，防不勝防。

疑中華電專案單位外洩，嚴防中國釣魚

查士朝分析，這次資訊外洩事件看得出來，很多都是電信公司底下接政府標案，或民間計畫的子公司的專案性質的資料；其他部份資料，則可能是有個人的手機被入侵。

查士朝也特別提醒，中國其實有建立「社交工程庫」，會針對台灣重要人士的手機，做釣魚或其他攻擊，這些有風險的特殊敏感性的人士，也可能會被對岸攻擊。

此外，軍方人員的手機要安裝行動裝置管理系統(MDM)，但從一些特殊資料取得的手法來看，查士朝憂心，MDM是否會被破解或監控，「現在外界都無法確認」。

過去就曾發生中國透過外部公司，蒐集軍方人員通話資料的連結，所幸被我方查覺和取得，提前預警和進行處理，這次外流資料則是被放在論壇上販售。

「資安問題防不勝防，只要有單一弱點被利用，就可能統統都被拿走。」查士朝強調，除非像科學園區採圍堵限制和管制，但國內很多專案人員公司內部員工，資安意識不足。

雲端丟資料易成破口，應增資安人員編制

例如，內部員工誤擊電子(釣魚)郵件被入侵，或是拿自己筆電裝公司機敏資料，再到處移動，使用公司私有雲或外部公有雲，將資料丟來丟去，反而容易變成破口，「專案人員安全意識是主要問題」。

把工作帶回家，同樣是很大的資安風險。查士朝也指出，這次有些line的對話，但就算是在伺服器也看不到line的加密對話，最大可能性就是手機被入侵。

「單位去做稽核，多只針對程序。」查士朝建議，現在主流是「資料導向」，只要機敏資料遠端存取，就必須符合資安機制安全性，或個人使用電腦符合資安防護等級才能存取。

只要不安全，就不應該上傳雲端，機敏資料在不該出現的地方，就應該去處理；而遠端存取要再加強，如資安機制安全性。

查士朝並指出，資料外洩有時真假難辨，或是舊資料重新打包，也不可能請大家全部更換資料，另一可思考的辦法為丟假資料，此做法也稱為「毒化」。

查士朝並提醒，很多資安漏洞是駭客利用軟體更新時攻入，或APT攻擊(進階持續性威脅)，除了端點安全要特別加強，也應該增加資安人員的編制。