164 5 促資訊保安 [本文摘要]:三宗資料外洩網絡保安事故,包括航空乘客資料、信用卡用戶 資料及快速支付系統安檢漏洞,折射出/反映防不勝防的「第三方風險」必須 正視。在個人生活與資訊網絡密不可分的情況下,如何制訂網絡安全標準十 分重要。 作者通過研究信用卡資料外洩的案例發現,為了滿足政府網絡安全標準,很多 公司把網絡安全的設計,外判給網絡安全供應商(MSSP)去協助設立保安措 施,以切合相關安全標準,而那些信用卡資料被竊的公司,都有參與一個業界 稱為 PCIDSS 的信用卡付款保安標準。PCIDSS 作為保護持卡人資料及交易安 全所訂定的標準,要求所有與支付卡處理相關聯的機構,包括商家、服務供應 商、收單機構(Acquirer)及發卡機構(Issuer)都必須符合該標準。 作者的研究發現,雖然不斷有更多客戶得到 MSSP 的保護,但也導致隱含更 多系統相互依賴風險。本文深入闡釋,提升個人資訊安全的效率,必須建立 在置身其中各持份者共同努力和貢獻的基礎上,單靠企業一方獨力維護,實 孤掌難鳴。 就近期三宗個人資料外洩的網絡保安事故,包括國泰航空公司九百多萬名乘客的 資料遭 不當取覽、英航客戶的信用卡資料外洩,以及轉數快所出現的安檢驗証紕 漏,筆者上周 撰文指出,若當事企業聘用第三方服務供應商的資訊保安出現問題,則這個「第三方」 風險便很可能給黑客打開入侵之門,從而殃及當事企業或機構 的網絡系統遭受淪陷,故 企業對此「第三方」風險不能掉以輕心。 當下,個人的生活已離不開資訊網絡,而個人資料外洩事件又層出不窮,更關鍵 一點 是,隨著資訊科技不斷創新和網絡活動更為普及化,很多個人資料外洩的紕 漏源頭和 網絡犯罪,往往又以「嶄新」的來源和形式出現,令人防不勝防。因此,如何提高個人 和企業對資訊保安的意識,是配合資訊社會發展不可或缺的環節,尤其企業因客戶資料 外洩而引起的法律訴訟賠償風險,如何做到事前防備、事發 因應、事後補救這「三步 曲」,必須認真思考;另一方面,在應對個人資料外洩 和網絡商業犯罪事故有增無減情況 下,政府如何制訂網絡安全標準,同樣是一個 非常值得討論的迫切議題。 資訊安全單靠企業孤掌難鳴
RkJQdWJsaXNoZXIy NDk5Njg=