別當「暗網」小白

　　2024年初，臺灣出現首起駭客竊取資料後，挾持上市櫃公司官網的資安事件。鴻海旗下的半導體設備龍頭大廠「京鼎精密科技」遭到威脅，若不支付贖金，將於暗網公開高達5TB的內部機敏資料，有可能導致客戶流失、員工失業。這起事件震撼各界，也突顯暗網不只是資安專家關心的領域，若資料保護不當，將對企業、員工甚至家庭構成威脅。

---

何為暗網？

　　一般人平常瀏覽的網站其實只是網路世界的冰山一角，還有許多無法透過Google或Bing等常見的搜尋引擎找到的網站，例如：私人資料庫、學術研究資料，或其他需要授權的網頁，屬於深層網路，俗稱「深網（deep web）」；而在深層網路的最深處，則存在一個必須透過特殊的匿名瀏覽器（如洋蔥路由器Tor）才能造訪的地下網路，通稱為「暗網（dark web）」。一般使用者若無資安專業技術，千萬不要輕易嘗試。

 

資料保護不當，後果不堪設想

　　駭客在暗網兜售或免費公開機敏資訊之攻擊手法屢見不鮮，近期常有人在暗網販售員工帳號、密碼或登入憑證，有心人可透過交易，取得企業的客戶資訊、營業機密等資料，並據此威脅業主支付高額贖金。

　　此外，一些心懷不軌但缺乏資訊技術的惡意人士也可能透過暗網，以較低的成本取得釣魚攻擊軟體，若員工不慎點擊含有病毒的釣魚郵件，或是使用弱密碼混用公私帳號，駭客即可輕易入侵內網，盜取公司機密資料，嚴重者可能導致營運中斷、商譽受損，甚至承擔法律責任。

　

避免企業機密資料在暗網暴露的方法

　　企業須落實下列三項資安防護措施，以確保資料安全：

　　1.加強執行資安教育訓練：提高同仁們的警覺性，避免點擊釣魚郵件，或在假冒網站輸入個人帳號及密碼。

　　2.強化密碼設定：持有高機敏資訊的員工應採用多重因子驗證機制，提升帳號的安全性。

　　3.辨識核心機敏資料：將資料分級標籤，並依敏感度實施加密、存取控制、遮蔽等防護機制，可參考《上市上櫃公司資通安全管控指引》第十九條：「針對機敏性資料之處理及儲存建立適當之防護措施，如：實體隔離、專用電腦作業環境、存取權限、資料加密、傳輸加密、資料遮蔽、人員管理及處理規範等。」透過一系列的措施，提升資安防護力。

 

借助ISO 22301　建立數位韌性

　　企業在充滿挑戰的數位環境中，除了提升資安能量，強化數位韌性也是重要的一環。負責支援遠東新海外體系運營的上海遠資信息公司，即於2023年12月通過ISO 22301，並制定風險管理計劃，增強應對意外事件之能力，維持企業競爭力。

 

您的資料是否已洩漏？

　　面對日益複雜的資安挑戰，不僅企業須加強安全掌控，個人亦應隨時保持警覺，採取有效的防護措施。雖然不建議一般民眾輕易嘗試進入暗網，但仍可透過Google One的暗網報告功能，檢查個人資訊是否流入暗網。Gmail免費用戶能無償檢查一次，Google One的訂閱會員則可使用個人的Gmail帳號、電話號碼等資訊，持續監控、掃描暗網，了解資訊安全狀況，歡迎多加利用。

 

*圖片來源：freepik

#