弘光科技大學 個人資料保護法與案例宣導 暨個人資料保護主管人員管理課程 漢昕科技資安顧問 林沛鑑 Aaron
課程大綱 一 個資管理新挑戰 二 適用範圍與條文罰則三 個人資料保護管理作業四 個案討論五 資訊安全與個資保護停看聽
攻擊案例一 監視器遭駭
攻擊案例二 出軌
攻擊案例三 行動電源
攻擊案例四 勒索軟體
資安 = 生活 資安 LifeLine
駭客動機 過去的犯罪者 對電腦狂熱 炫耀 證明自身之電腦能力 個人型 今天的犯罪者 本身利益 商業利益 特定政治立場 組織型
駭客攻擊方式 過去的攻擊 毀損資料 惡作劇 癱瘓個人電腦 癱瘓內部網路 現在的攻擊 竊取個人隱私 竊取企業機密 加密個人資料勒索 將個人電腦做為跳板 將個人電腦作為殭屍電腦 癱瘓外部網路 (DDoS)
向大師致敬?
向大師致敬? 匿名者
系統帳號 密碼 銀行帳號 提款卡 信用卡號碼 信用卡認證碼 電話號碼 住址 個人隱私 企業機密.. 駭客要什麼
難以想像的地下經濟
難以想像的地下經濟
難以想像的地下經濟
難以想像的地下經濟
課程大綱 一 個資管理新挑戰 二 適用範圍與條文罰則三 個人資料保護管理作業四 個案討論五 資訊安全與個資保護停看聽
18
隱私保護 -1
隱私保護 -2 1890 年隱私權的提倡 個人可不被打擾, 安靜獨處的權力 ( the right be alone) 1980 年隱私與個資保護開始受到國際組織重視 OECD 提出 隱私保護與個人資料跨境流通指導員則 1995 年歐盟提出個人資料保護指令 歐盟個資保護指令, 影響包含我國在內之各國立法工作 2007 年 APEC 推動跨境隱私保護實驗計畫 我國為 APEC 成員之一, 直接面臨來自國際上的壓力 資料來源 : 資策會
個人資料保護法 個資法介紹
個人資料保護法介紹 -1
個人資料保護法介紹 -2 出生年月日 國民身分證統一編號 家庭 教育 聯絡方式 醫療 性生活 姓名 護照號碼 婚姻 職業 財務情況 基因 犯罪前科 特徵 指紋 社會活動 病歷 健康檢查 以及其他得以直接或間接方式識別該個人之資料 個資法第 2 條
什麼是病歷? 個人資料保護法介紹 -3 醫師法第 12 條 醫師因執行醫療業務所記載的文書紀錄 ( 不含醫事 護理人員所作之文書紀錄 ) 醫療法第 67 條 任何醫事人員執行醫療業務時, 所記載之文書紀錄, 包括各項檢查及檢驗報告資料 如出生 死亡 死產證明書 手術 麻醉 人體試驗同意書 心電紀錄 描述病情病歷摘要 復健紀錄等 個資法第 2 條
什麼是醫療? 個人資料保護法介紹 -4 衛福部函 凡是以治療矯正或預防人體疾病傷害殘缺或保健目的, 所為之診治或治療或基於診察診斷結果而以治療目的所為之處分或用藥等行為全部或一部之總稱 申言之, 醫療行為的判斷標準有三 : 一 是否以治療矯正或預防為目的 二 是否有診察診斷及治療行為 三 是否有用藥或處分行為 個資法第 2 條
個人資料保護法介紹 -5 王大明今年 10 歲無業高雄市鼓山區萬壽路 350 號 個資法第 2 條
個人資料保護法介紹 -6 蒐集 以任何方式取得個人資料 直接 / 間接蒐集 個資法第 2 條
個人資料保護法介紹 -7 處理 為建立或利用 個人資料檔案 所為資料之記錄 輸入 儲存 編輯 更正 複製 檢索 刪除 輸出 連結或內部傳送 個資法第 2 條
個人資料保護法介紹 -8 利用 將個人資料為處理以外之使用 個資法第 2 條
個人資料保護法介紹 -9 國際傳輸 指將個人資料作跨國 ( 境 ) 之處理或利用 個資法第 2 條
個人資料保護法介紹 -10 侵害通知 違反本法規定, 致個人資料被竊取 洩漏 竄改或 其他侵害者, 應查明後以適當方式通知當事人 個資法第 12 條
個人資料保護法介紹 -11 自然人為單純個人或家庭活動之目的, 而蒐集 處理或利用個人資料於公開場所或公開活動中所蒐集 處理或利用之未與其他個人資料結合之影音資料 例如社交活動 寄送喜帖 親友通訊錄等 上述資料的蒐集必須與職業或業務職掌無關 例如運動會照片 遊樂場拍攝小孩與其他小孩一起遊玩的影片等 為解決合照或其他在合理範圍內之影音資料須經其他當事人書面同意始得蒐集 處理或利用之不便, 因此排除個資法對 上述影音資料的適用, 回歸民法規定 個資法第 51 條
個人資料保護法介紹 -12 刑事責任 違法蒐集處理或利用敏感性資料違法蒐集及處理個人資料違法利用個人資料違法進行國際傳輸非法妨害個人資料正確性 非意圖營利 : 兩年以下有期徒刑 意圖營利 : 五年以下有期徒刑 五年以下有期徒刑 公務員假借職務上之權力 機會或方法, 犯本章之罪者, 加重其刑至二分之一 個資法第 41/42/44 條
個人資料保護法介紹 -13 每人每一事件新臺幣五百元以上二萬元以下計算 民事責任同一原因事實造成多數當事人權利受侵害之事件, 其合計最高總額以新臺幣二億元為限 但因該原因事實所涉利益超過新臺幣二億元者, 以該所涉利益為限 非公務機關違反本法規定, 致個人資料遭不法蒐集 處理 利用或其他侵害當事人權利者, 負損害賠償責任 但能證明其無故意或過失者, 不在此限 公務機關違反本法規定, 致個人資料遭不法蒐集 處理 利用或其他侵害當事人權利者, 負損害賠償責任 但損害因天災 事變或其他不可抗力所致者, 不在此限 個資法第 28/29 條
個人資料保護法介紹 -14 行政檢查 (2 萬至 20 萬 ) 行政責任罰鍰 (2 萬至 50 萬 ) 處分 代表人 管理人或其他有代表權之人除能證明已盡防止義務外應並設同一額度罰鍰 禁止蒐集處理或利用 命令刪除經處理之資料 沒入或銷毀 公布違法情形及其姓名或名稱與負責人 個資法第 49/50/25 條
個人資料保護法修法重點
課程大綱 一 個資管理新挑戰 二 適用範圍與條文罰則三 個人資料保護管理作業四 個案討論五 資訊安全與個資保護停看聽
安全維護措施 保護標的 : 防止個人資料被竊取 竄改 毀損 滅失或洩漏 1 配置管理之人員及相當資源 2 界定個人資料之範圍 3 個人資料之風險評估及管理機制 4 事故之預防 通報及應變機制 5 個人資料蒐集 處理及利用之內部管理程序 6 資料安全管理及人員管理 7 認知宣導及教育訓練 8 設備安全管理 9 資料安全稽核機制 10 使用紀錄 軌跡資料及證據保存 11 個人資料安全維護之整體持續改善 必要措施以所須支出之費用與所欲達成之個人資料保護目的符合適當比例者為限 此 11 項安全措施內容為參照英國 BS10012:2009 及日本 JISQ15001:2006 等個人資料管理系統之規範, 以 P-D-C-A 循環之概念予以建立
網路 = 生活
社交工程 社交工程是利用人性的弱點進行詐騙, 是一種非 全面 技術性的資訊安全攻擊方式, 藉由人際關係的互動進行犯罪行為 操控人類心理 手法萬萬種 技術門檻較低 社交工程
人性的弱點 好奇心 恐懼感 貪念 不在意 助人的天性 41
社交工程常應用的題材 新聞事件 - 熱門時事 社會脈動 生活議題 - 旅遊 養生 減肥 食安 理財 偽冒公務 個人名義 情色八卦 42
折價券廣告
色情郵件
休閒活動
熱心助人的心理
公務交辦
電子郵件社交工程攻擊流程 攻擊階段控制階段活動與擴散階段 3 安裝後門程式 4 建立 C&C 通道 1 觸發軟體弱點 夾帶惡意附件的社交工程信件 5 2 內部網路攻擊與擴散 48
遭受電子郵件社交攻擊的影響 資料遭竊 帳號 / 密碼 個人金融資訊 業務機密 共犯 攻擊內網 跳板 殭屍電腦 瀏覽色情網站 作為 P2P 軟體服務
社交工程演練 信件預覽 - 開啟率偵測受測者於收到警覺性測試信件後, 預覽信件圖片或內容 連結點選 - 點閱率偵測受測者於收到警覺性測試信件後, 開啟信件並點擊信件中之 URL 連結或附檔
讀取信件要領 確認寄件者 確認郵件主旨 確定郵件內容是否與寄件者或主旨有關 是否非得開啟附件或點選連結 是否須向寄件者確認 51
取消郵件預覽功能 52
取消郵件預覽功能
取消郵件預覽功能 Windows Live Mail 選取 檢視 / 版面配置 不勾選 顯示預覽窗格 Outlook express 選取 檢視 / 版面配置 不勾選 顯示預覽窗格 Outlook 2010 選取 檢視 / 讀取窗格 選擇 關閉 Outlook 2007 選取 檢視 / 讀取窗格 選擇 關閉 54
關閉郵件自動下載圖片 55
關閉郵件自動下載圖片 56
關閉郵件自動下載圖片 Windows Live Mail 選取 工具 / 安全性選項 / 安全性 勾選 阻擋 HTML 電子郵件中的圖片和其他外部內容 Outlook express 選取 工具 / 選項 / 安全性 勾選 阻擋 HTML 電子郵件中的圖片和其他外部內容 Outlook 2010 選取 檔案 / 選項 / 信任中心 / 信任中心設定 / 自動下載 勾選 不自動下載 HTML 電子郵件訊息或 RSS 項目中的圖片 Outlook 2007 選取 工具 / 信任中心 / 信任中心設定 / 自動下載 勾選 不自動下載 HTML 電子郵件訊息或 RSS 項目中的圖片 57
不以 HTML 模式開啟郵件 58
不以 HTML 模式開啟郵件 59
不以 HTML 模式開啟郵件 Windows Live Mail 選取 工具 / 選項 / 讀取 勾選 在純文字中讀取所有郵件 Outlook express 選取 工具 / 選項 / 讀取 勾選 在純文字中讀取所有郵件 Outlook 2010 選取 檔案 / 選項 / 信任中心 / 信任中心設定 / 電子郵件安全性 勾選 以純文字讀取所有標準郵件 Outlook 2007 選取 工具 / 信任中心 / 電子郵件安全性 勾選 以純文字讀取所有標準郵件 60
發現被詐騙時 立即修改 Email 密碼 發信通知你的聯絡人名單內的所有人 重新安裝作業系統 重新設定所有的應用程式帳號及密碼 跟單位的資訊人員聯繫
惡意網站
惡意網站 www.chiinatrust.com.tw www.chinatrust.com.tw 中國信託 www.citibahk.com www. citibank.com 花旗銀行 www.hshc.com.tw www.hsbc.com.tw 匯豐銀行 www.skl.com.tw www.sk1.com.tw 新光人壽 www.ntx.gov.tw www.ntx.com.tw 財政部北區國稅局 www.1111.com.tw www.111.com.tw 1111 人力銀行 TW.BID.YAHOO.COM TW.BlD.YAHO0.COM 雅虎拍賣
惡意網站 https://global.sitesafety.trendmicro.com/
社群網站 冒牌好友
社群網站
社群網站
社群網站
即時通訊
即時通訊
即時通訊
即時通訊
隨身碟
隨身碟 外掛程式
隨身碟 16 G 5333 片
隨身碟
惡意軟體 - 防範
惡意軟體 - 防範
惡意軟體 - 防範 定期更新系統及防毒軟體 備份重要資料 工作與非工作密碼要區分 密碼設定原則 避免與帳號或主機名稱相同 避免使用個人資料 ( 如 : 生日 身分證 ) 英文單字 ( 如 :password) 相同或連續 ( 如 :qwerty) 資安守則
課程大綱 一 個資管理新挑戰 二 適用範圍與條文罰則三 個人資料保護管理作業四 個案討論五 資訊安全與個資保護停看聽
個案討論 -1 案例
個案討論 -2
個案討論 -3
個案討論 -4
個案討論 -5
個案討論 -6
課程大綱 一 個資管理新挑戰 二 適用範圍與條文罰則三 個人資料保護管理作業四 個案討論五 資訊安全與個資保護停看聽
重點回顧
總結 資訊安全及個資保護不只是一 種技術與專業, 更是一種習慣 與文化
Thank You 感謝聆聽敬請指教 林沛鑑 Aaron aaron@bccs.com.tw