當企業與公司面臨資訊安全事件時的反應

圖片:Pixabay,CC0授權

2017年有許多資訊安全事件值得探討:

  1. Equifax 被駭的導致人民面臨身份被盜取的危機
  2. Deloitte 的資料外洩
  3. WPA2被破解
  4. Estonia 電子公民身份證有資安弱點
  5. 遠銀遭駭傳被盜走6000萬美元,遠銀:損失可能小於50萬美元

這只是 2017年裡觀察到的幾則資安事件其中與身份竊取或重大財務損失較有關的。同時我也觀察了這些相關單位的處理措施,幾乎都造成了使用者的恐慌、信任的消失,或是閃躲,尤其是台灣的遠銀事件,屬於跨國網路犯罪卻查無任何英文資訊。

除了 Estonia 的電子公民身份證資安事件是由官方出來回應之外,其他公司不是有董事和股東提前走人以迴避責任,就是不做任何回應任由媒體漫罵,客戶只能摸著鼻子選擇其他服務,或是發媒體新聞稿,請政府協助但公司官網仍一派和諧,像什麼都沒發生過一樣。

以下是一篇很好的案例,讓我們知道如果發生資安事件時該如何處理、如何面對媒體。

Whois Maintainer and IRT objects error resolved

APNIC 今年六月進行 Whois 資料庫更新,由於更新時的錯誤導致資料可以被大量下載,雖然下載下來的密碼是已被處理過不易辨識的,但只要有工具,就可以重組回正確的密碼。

APNIC 在接獲通知後,便啟動了警急的處理措施:

  1. 通知所有資源維護人員、利害關係人並重置所有管理人員和IRT人員的密碼,同時已經處理完畢。
  2. 透過 MyAPNIC 管理的人員不需要擔心會有這樣的風險。如果是使用 email 管理,則建議使用 PGP。
  3. APNIC 有進行相關的監控與並分析這段期間的記錄,目前沒有任何違規的情況。
  4. APNIC 除了通知所有利害關係人之外,也在網站上公開這次安全事件的影響層級、對於這次事件的處理流程、日後的改善措施 (大量下載的審查條款)並避免日後在升級時有同樣的情況。
  5. 樂意給予協助。
  6. 這次的經驗也會是內部訓練課程的一個非常好的範例。

在了解這次的事情和相關措施後,我讀了兩遍這篇文章,這篇文章具備了良好的公關應對架構:

  1. 解釋事件發生的原因
  2. 可能造成的影響
  3. 清楚解釋的事件處理過程
  4. 通知了哪些人與現在的處理狀況
  5. 內部補救措施
  6. 日後的預防措施
  7. 樂意給予相關的協助

這個架構與今年在 APrIGF Bangkok Day 0的資安訓練內容一致:當組織面臨資安事件、資料外洩時要如何處理,而 APNIC 也立即通知並正向、清楚回覆處理狀況,而其他的媒體大多只是重覆的貼上該篇文章中的內容 (本文也只是稍作整理) 沒有太多評論,頂多是找一些資安專家再對這次資安事故可能造成的影響再解釋的更白話一點。

APNIC 的態度、文章的架構與內容,都是應該學習的,而不是出了事硬要政府負責幫忙,或是完全不予理會,或是如 Equifax 盡出一些奇怪的作法,造成民眾的恐慌。

One clap, two clap, three clap, forty?

By clapping more or less, you can signal to us which stories really stand out.