165 5 促資訊保安 事前防範避免掛一漏萬 今次國泰航空乘客資料外洩事件,國泰在事前防備上—若報導屬實,即該公司 外判網 絡安全供應商進行「入侵測試」,以檢測自身的系統有沒有安全紕漏,但外判網絡安全 服務商不小心以國泰航空客戶真實資料作系統測試,其後遭黑客入 侵,以致國泰約 940 萬名乘客的資料遭不當取覽。很顯然,在事前預防上,國 泰有忽略「第三方」風險之 嫌,在防備上有所缺失。 記得筆者曾探討劍橋分析公司(CambridgeAnalytica)利用臉書(Facebook)平台 上 的漏洞,未經許可收集了逾 5000 萬臉書用戶的信息資料。事故中,個人資料 外洩的規 模龐大,殃及的人數眾多,以千萬單位計,關鍵之處,是負責收集資料 的劍橋心理學教 授科根(AleksandrKogan),透過一個性格測試的 APP,邀請臉書 的用戶參與測試, 科根則收集登錄臉書帳號參與者的個人資訊與點贊記錄。除受 訪者本人外,再通過收 集受訪者在臉書上的好友資料。當時,參與性格測試的人 數約 32 萬人,但科根順滕摸 瓜,加上用戶在臉書上的好友,像滾雪球般,讓他輕易收集到逾 5000 萬臉書使用者的 資料—這個「友朋間信息披露」(Peer‐Disclosure)風險的網絡新現象,展示了個人 對於保護自身的私人資料,同樣帶有忽略「第三方」風險的意味。 可以說,在網絡系統相互勾連、多方向傳輸的今日網絡世界上,「第三方」風險,其「隱 蔽性」往往受到忽略,卻又往往帶來防不勝防的巨大破壞性,因而無論是 企業或個人, 都必須對「第三方」風險提高警惕。
RkJQdWJsaXNoZXIy NDk5Njg=