2012年1月4日 星期三

定期檢查網站個資 降低無意間外洩的可能


近年來,個人資料外洩的新聞愈來愈多,撇開造成外洩的原因不談,大部份事件中的苦主(企業)有一個共同特性,就是不知道自家網站上有這些個人資料,直到事件發生當下才驚呼:這個檔案/這些資料怎麼會在網站出現!

為使政府機關掌握網站所擁有的個資狀況,資策會專案支援處配合研考會計劃,開發網站個資檢測工具,並提供給政府機關使用,只要申請帳號、自定搜尋規則,就可以尋找網站中有哪些頁面隱含個人資料。

資策會專案支援處組長陳培德表示,自2011年7月上線至今,檢測過445個網站共228,919個頁面或檔案具有疑似個資外洩風險,總計個人資料筆數為1,318,864筆。其中,地址、室內電話、及手機三種個人資料出現的比例最高,這有可能是因為政府機關網頁多將地址與連絡電話放置於網頁框架的緣故,至於身份證字號與信用卡卡號的出現比例最低。

對於含有個資或機密資料的網頁,陳培德建議,至少要做到以下5點保護措施:
1.移除洩漏資料之頁面或檔案:若為非必要公開或保存於網站上之資訊,建議直接移除該頁或檔案,避免個資遭有心人士竊取或利用;
2.限制存取權限:若為必須存放於網站上,但屬內部或限制特定身份才能使用的資料,建議對此類資料設定存取權限,例如:要求使用者登入後才能存取資料、限制存取IP…等方式;
3.隱藏部份資訊:若為必須存放於網站上,且必須公開之資料,建議隱藏部分敏感性資訊,如:將姓名其中一個字以X表示,以*號遮蔽身分證字號…等方式;
4.妥善設定robots.txt檔案:設定robots.txt檔案,透過User-agent指令設定搜尋引擎代理器、Disallow指令設定要隱藏的資料夾或頁面,可以避免搜尋引擎存取網站內容,防止包含個資或機敏資訊的網站內容被公開;
5.移除搜尋引擎頁庫存檔:定期檢視搜尋引擎的快取狀況,若發現網頁或檔案仍被暫存且可被搜尋引擎列出,應移除搜尋引擎上之頁面庫存檔,避免個資遭有心人士竊取與利用。

隨著新版個資法正式上路的日期愈來愈近,企業若不能掌握網站有哪些個人資料,只怕會成為第一個開罰案例,包括網頁內容或可下載的檔案,甚至搜尋引擎快照或庫存頁面,都有可能隱藏著個人資料,如何做好定期檢測、避免個資無心洩露,將是未來企業網站管理的必備工作。

引用自《資安人

沒有留言:

張貼留言