資料外洩零容忍！JANDI 賦能企業將協作檔案、溝通資料受到安全保護

封面圖／Photo by Towfiqu barbhuiya on Unsplash

資訊安全早已是老生常談，但隨著進入數位化時代之後，現代人幾乎很難不把個人的資料交給企業，舉凡像是註冊/認證各種數位服務、到電商網站買東西，都在不知不覺交出個人的機敏資料。但是，也因為這樣，每當爆出企業的用戶資料外洩、顧客名單被竊取，往往規模之大、數量之多讓外界譁然。

光是 2023 年1 月為例，就發生航空公司會員資料被張貼於國外論壇、共享汽車業者讓顧客資料庫在網路上輕易存取、還有一家銀行信用卡客戶疑似 3D  Secure 驗證碼被竊取、盜刷等事件。不論是政府部門或企業組織，接連發生重大個資外洩，也讓「資安」議題浮上檯面。

文/ JANDI 特約編輯陳薪智

---

為何台灣爆出資料外洩事件層出不窮？

這幾年政府一直大力鼓吹，希望企業經營者要強化資安保護的思維，不論是從技術面或人力防範，強化教育訓練的重要性。尤其去年數位發展部成立之後，旗下的產業署就針對電商平台業者，投入資源為業者強化輔導，包含針對銷售資料庫系統做資安測試，藉此提升防禦力。

但這樣做法似乎只是單點防守，仍難做到全面動起來。其一原因，立法諸公把焦點探向「罰則過輕」，由於我國「個人資料保護法」若有違法蒐集、處理、利用或變造個資，罰金上限是新台幣 20 萬元。等於變相鼓勵企業，如果真的發生資料外洩問題，寧願繳交罰金也不要全面升級資安系統，因為這類數位工具往往需要數十萬、甚至上百萬的建置、維運成本。

相較之下，國際目前對資料保護相對嚴格的歐盟 GDPR（一般資料保護規則），從 2018 年開始執行以來，針對不守規矩的企業祭出罰款，若違反個人資料處理，企業的罰鍰最高達前一會計全球年營業額 4％。例如 WhatsApp 就曾被愛爾蘭政府裁罰 550 萬歐元（約新台幣 1.77 億），或是 Meta 罰款 3.9 億歐元（約新台幣 125.9 億），透過高昂裁罰金逼使企業不該僥倖心態。

企業把個人資料外洩，台灣另一個難以達到嚇阻作用的原因，消費者端要做舉證責任、訴訟門檻不僅高，而且訴訟成本可觀、賠償金額又低，因此多數人都摸摸鼻子認栽，而不會真的對企業提出個資外洩訴訟。這也養成歪曲的社會風氣，當知道自己的資料被企業無心洩露，或是莫名接到假冒網購業者的詐騙電話，雖然氣憤但卻也只能兩手一攤。

---

打造企業資安鐵三角的可行方法

根據這篇文章提到，「資安鐵三角」是目前被視為建構企業安全架構的三大基石。這三個要素分別是：機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）。

• 機密性：針對企業各種數據進行完整的加密、保護措施，盡可能限制各種未經授權的資料的訪問與修改權，藉此降低機密資料陷入威脅機率。
• 完整性：指的是企業所擁有的資料不會受到未授權者的隨意篡改，確保資料在其生命週期內的一致性，最簡單的舉例，就是銀行能確保存戶的帳戶金額數字，不會隨意受到 ATM、網銀轉帳攻擊讓餘額被有心人士修改。
• 可用性：可用性代表企業內正在運作程式系統、營運程序，可以讓授權者能即時訪問這些可用資源，盡可能要避免因軟硬體故障、停電、自然災害、人為疏失或資安病毒造成程式的正常運作。

以近期發生的共享汽機車品牌所爆發的個資外洩事件，就是沒有意識到資料機密性的問題。就有專文分析指出，因為該企業針對資料庫的存取沒有做任何管控機制，若知道該系統所在 IP 位址，根本不用破解密碼就可以存取該資料庫內容。資料庫內容就包含近三個月會員資料，如會員姓名、電話、地址、身分證、生日、Email、緊急聯絡人、申請會員上傳照片檔（經編碼）。

根據 Verizon 於 2022 年提出的洩漏調查報告（DBIR），多達 82% 的資訊安全事件，有非常高比例都跟人為因素有關，尤其隨著企業的應用程式持續增加，或是有權限觸及資料的管理身分變多，都在增加資料外洩的機率。有一篇文章特別點出，企業如果想從此刻就開始強化資安，該從哪些面向開始著手？

總共有四個步驟可依循：

一、盤點公司需求，找出公司試圖要解決哪些最根本的問題。

二、設計流程，確定需求再梳理出潛在資安事件的情境、過程、需改正地方，製作工作流程地圖，註明哪些流程需要手動作業、哪些採取自動程序等。

三、制定明確目標，前兩個步驟決定後，依據公司的資源及人力等各項價值進行評估，進而知道需投入的成本規模有多少。

四、建立財務模型，盤點階段完成後，再把預期可能發生的維護成本，或是其他任何成本納入製作成一個動態的財務模型，隨時檢視成效及成本。

---

JANDI 確保企業資料不受侵害

事實上，企業的機敏資料不管是內部共享的檔案，或是例行工作的對話紀錄，都應該被視為不得外洩的零容忍原則。這幾年 JANDI 不斷加強安全性和管理功能，以保護企業資訊讓團隊安心又放心，以下盤點幾項確保企業資料受到保護的主要功能。

• 資料加密機制規格等同金融機構

用戶使用 JANDI 傳檔案、對話紀錄，所有資料皆使用 256bit 加密規格，等同金融機構等級的加密傳輸技術，並永久儲存於 AWS 雲端資料庫。另外，JANDI 也先後通過 ISO 27001、CSA STAR 國際標準資訊保護認證 ，足以證明確保公司重要商業機密。

• 運用議題管理權限

每個議題的管理員可以將一般成員、準成員邀請或退出議題，創建私人議題後，只有被邀請加入聊天室的成員才能查看議題中的檔案和內容；私人議題不會出現在議題列表，因此有效控制進入的成員及查看權限，保障機密資訊。

• IP位置白名單

IP位置白名單功能被開啟後，僅允許在信任的 IP 位置有權限進入團隊。被授權的 IP 位置後續才能進入團隊或下載檔案，以保護數據與資料安全。

• 設定浮水印

開啟浮水印設定後，所有檔案在預覽時都將顯示浮水印，藉此防止機密文件外洩，提升成員對文件的安全意識。

• 裝置、權限下載限制

另外針對雲端的共享檔案，也可以在後台設定檔案下載限制，依照裝置／權限／IP 設置下載限制，防止企業重要文件外流。

• 查看下載紀錄

團隊管理員可以檢視團隊檔案下載的歷史記錄，包含查看成員、日期期間和檔案名稱。

• 雙因子驗證

透過電子信箱以及 OTP 應用程式設定雙因子驗證，管理員可以要求所有團隊成員設定雙因子驗證。透過雙因子驗證設定，可進一步增強保護個人帳號安全、訊息安全性。

---