BSA報告:數位安全不容小覷 加密技術擔要角
(2016年7月28日,台北訊)第一銀行日前發生跨國ATM盜領案,損失新台幣8300多萬元,雖然目前已追討回逾7000萬元,但向來被視為資安防護最為嚴密的銀行業發生如此重大的盜領事件,不僅揭露了台灣銀行業的潛在隱憂,更帶出企業和大眾暴露於資料外洩的高度風險中。因此案犯罪手法涉入諸多網路應用科技,包括透過駭客手法入侵ATM機器、犯案過程中的使用「加密」型通訊軟體進行聯繫,讓警方無法順利追蹤事件,使得資訊安全的重要性以及「加密機制」放寬與否的討論再度浮出檯面上 。
其實若不採用加密機制,資料外洩事件的數量將可能遠遠超越你我的想像!今(2016)年5月份中華郵政的購物網站就有1.7萬筆個資外洩,但如果你以為駭客還是只對信用卡資料有興趣,那就大錯特錯了。根據Gemalto的《資料外洩指標分析報告》[1]指出,2015年總計有1,673件資料外洩資安事件,導致超過7億筆資料外洩。其中最大受災戶已從2014年的大型零售業者,轉變成為政府部門與醫療機構,顯示駭客對於竊取個資的興趣已逐漸高於信用卡資料,只要是可以辨識身分的資料,對於駭客而言都有其價值。因此,加密機制於現今數位化的社會中,扮演關鍵性的角色,能防堵資訊外洩,避免造成個人安全或重大財務的損失。
數位資訊大量產出,仰賴加密機制保護
BSA | 台灣軟體聯盟(BSA | The Software Alliance)在一份全球的研究報告《ENCRYPTION: Securing Our Data, Securing Our Lives》中提到,物聯網時代,大量個人化的數據藉由行動和穿戴式裝置產出和傳輸。舉例來說,起床後運動手環就開始計算步數,慢跑時記下心跳、血壓變化;通勤時利用手機登入公司電子信箱帳號處理公事,抑或用個人資料收發email、網路刷卡購物、手機連線Wi-Fi,甚至和朋友在LINE、Facebook上的對話記錄等等,人們的任何行動皆會產生個人化的數據,記錄在穿戴式裝置及手機上。大眾在不知不覺中交出了自己的資訊及數據,而這些數據傳遞的過程其實都依賴加密機制來保護。
過去有許多人沒有意識到加密的重要性,在網路上隨意地公布或傳遞重要的個人資料,造成個資外洩、信用卡盜刷、e-mail帳戶遭駭等損失。但隨著資安意識抬頭,各大廠也紛紛提供更安全的加密服務,如Facebook即將在今年推出點對點的加密訊息服務,以後在傳送重要訊息都可以選擇加密;無獨有偶,LINE也在最近的更新中,將所有一對一的文字與位置訊息都直接在手機上加密,只有對話雙方可以為彼此的訊息加解密,第三方無法攔截或讀取。同時,Google也將為Chrome推出更進階的加密功能,在在都顯示加密功能的重要性。
加密技術強弱有別,配合行為控管強化資料安全
BSA | 台灣軟體聯盟指出加密機制主要用於協助保護資料,不論是電腦或手機的使用、透過網路傳輸,以及儲存在雲端的資料。其運作方式就是將資訊和數據透過演算法或是特殊機制,轉變為一連串的亂碼,只有擁有解鎖的「金鑰」且經過授權的人才能讀取這些資料。加密的強弱取決於金鑰的位元bit長度,越長的金鑰越複雜,所需要解開的時間越長,相對來說也越安全,目前已發展到248位元的金鑰。常見的三大加密方式包括:
一、對稱式加密(Symmetric Encryption):主要用於保護雲端及裝置中的資料,可快速且大量加密資料檔案,其「對稱式」的金鑰同時用於加密和解密。但加密的檔案只限於和特定網路內的人分享,其他人欲取得金鑰資訊,還需要向原加密者索取。但此種加密方式的最大限制在於網路分享資料不易實現,且多人分享資料衍生的金鑰管理和分配問題;再者,若使用者遺失密碼則加密資料將可能無法再復原。
二、非對稱式加密(Asymmetric Encryption):針對對稱式加密之盲點修改的非對稱式加密,整個加密過程會有兩副金鑰,一副為公開金鑰用於加密、一副為私人金鑰用於解密。目前其使用範疇包括瀏覽器與伺服器連線、登入軟體更新、加密email等,同時也方便與他人互傳檔案。現行實務上多採用對稱式和非對稱式加密合併使用,例如SSL技術。
三、雜湊(Hash):加密授權單一人員、裝置、電腦,採用Hash雜湊的方式,將資訊不經金鑰直接轉成亂碼。
以上所有加密技術都是為了保護資料,也許看來不起眼的數據集結起來就是龐大的資料庫,可影響一個產業或是政府部門決策,所以個人更應該對於自己的資料有所意識及保護。有鑑於此,BSA | 台灣軟體聯盟提醒,近來不少國家的政府為了執法考量,提議減少資安科技的限制,如開放後門、讓政府單位可以取得資料,或是額外附帶讓第三方也擁有金鑰,但這些都會讓駭客有機可乘,為了一時的方便後果將得不償失,如何權衡兩邊的利弊還需要更多的討論。
除了現行科技對資料的保護外,行為控管更是必要的舉措。BSA| 台灣軟體聯盟一直致力於推廣企業採行SAM軟體資產管理,就是幫助企業對於內部軟體狀態更加了解,同時也是檢視公司內部網路是否有資安風險的機會,加強內部網路資料傳輸的安全程度,與外部網路進行資料交換時設置加密機制,才能夠真正保護軟體及智慧財產。雖然加密的機制及科技看起來複雜,但其實重點非常簡短:使用強度高的加密機制不僅是保護我們自己,也是企業保護消費者權益、發展出更有力產品,帶動經濟發展的不二法門。
更多相關資料:
[1] Gemalto releases: http://www.gemalto.com/press/Pages/Gemalto-releases-findings-of-2015-Breach-Level-Index.aspx