test

相信同仁都有使用Google的雲端服務。有些部門甚至使用Google 的表單，來記錄並處理重要的工作記錄、收集同仁或客戶的個人資料。在 去年9月號的資安月刊 ，我們曾教導同仁使用驗證APP的方式，透過配對過的手機産生動態碼的方法，讓系統驗證您是本人使用服務。但這個方式在配對與使用上，仍然有些過程讓人感到不便： 配對後，資料儲存在手機，驗證APP到處都有人在寫，配對資料的儲存方式是否安全，令人擔憂。 每次驗證時都要空出手來輸入動態碼，非常麻煩。 圖：眾多雲端服務都導入了Passkey的機制，如此將迎來無密碼即可通行的時代。 今天我們想要來分享一種更新、更好用且更安全的驗證服務：密碼金鑰 PassKey，希望大家能很快地熟悉後，未來都可以不需要再擔心密碼長度的問題，也可以確保自己存放的資料不會被偷被盜。 一、什麼是PassKey? 隨著數位安全威脅日益增加，傳統的密碼系統面臨越來越大安全挑戰，定時更改密碼亦成了大家的惡夢。為了應對這些威脅，一種名為「PassKey」的新技術應運而生。當使用者在支援PassKey的網站或應用程式註冊時，系統會生成一對密鑰，分別儲在伺服器和用戶的設備(如:手機)，在登入過程中，使用者可以透過生物識別(如指紋、臉部辨識)或本地端的PIN碼進行解鎖設備，完成登入操作，簡化傳統密碼帶來的繁瑣。 PassKey是基於FIDO2和Web Authentication標準發展而來，已被主流平台和瀏覽器廣泛支持，是一種新型的身份驗證方式，旨在取代傳統密碼，提高安全性和使用便利性。台灣的金融服務亦採用FIDO2的規格，可見PassKey的安全性已無庸質疑，是個現代人可以信任的新興驗證科技。 目前同仁的電腦大多都沒有生物辨識的功能，因此我們將介紹使用手機來進行PassKey驗證。像有些單位使用共用的Google 帳號，就可以透過配對數位同仁的手機設定PassKey，達到只有這些同仁可以登入使用該帳號。 二、如何為我的Google雲端帳號設定使用手機來執行PassKey驗證機制? Step 1：首先, 請確認您的手機系統已更新到最新版、使用手機系統原生的密碼管理工具。 部分舊的iPhone 手機無法更新到iOS 17版以上，或是Android手機系統無法更新的 Android 14版以上，可能無法使用完整的跨裝置進行PassKey驗證的功能。 查看Androi...

  近期韓國最大電信業者 SK Telecom（SKT）爆發嚴重資安事件，駭客成功入侵其系統，竊取了大量用戶的 USIM資料（Universal Subscriber Identity Module, 即實體SIM卡資料，詳 註1 ），由於遭盜用的資料可輕易讓駭客進行SIM卡偽冒，收取銀行身份認證簡訊，盜用客戶之款項，許多民眾得知後陷入恐慌，紛紛到營業據點要求換卡，2600間門店大排長龍。據察，SKT 遭駭客入侵的內部管理系統，其負責儲存門號與 USIM 對應資料、身分驗證記錄的伺服器都未加密、亦未隔離保護，是此次事件的核心漏洞。本事件再次揭露， 削減資安預算可能對企業造成致命的重擊 ，企業不可不慎。 一、SIM 卡資料外流、遭偽冒的事件，在台灣有可能發生嗎? 南韓政府後續針對本次事件進行了調查，目前可知，用於複製USIM卡的4種用戶資訊、SK電訊為處理USIM卡數據而所需管理的21種資訊遭洩露，但未包含國際移動設備識別碼（IMEI，俗稱手機身份證），但建議民眾更換USIM卡並加入USIM卡保護服務。 雖然客戶的客戶姓名、其他身分資訊、財務資料並未外流，但外洩的資訊落入歹徒手中，結合自其他來源取得的用戶個資，可能會被用於發動SIM卡偽冒（SIM Swapping）攻擊。歹徒可以將銀行認證簡訊導到新的SIM卡，對銀行帳戶款項進行盜領，可能造成民眾大量財産損失。 台灣三大電信廠商依現行通訊法規的要求，在更換SIM卡的過程，需要本人親自到櫃枱辦理，確認是本人身分才提供換卡，因此，在台灣發生SIM卡偽冒的機會並不大。唯一 一次較大的案件 是2022年當時因疫情的關係，歹徒假冒大陸台商SIM卡遺失需補發，因航班停飛無法親自辦理，電信業者僅憑證件圖檔，即核準換卡，造成真正的客戶銀行帳戶被盜，差點身家不保。 二、SIM卡如此脆弱，那麼eSIM(數位化SIM卡)是否較安全? APPLE 數年前為縮小SIM卡佔用手機的空間，導入了更安全的eSIM機制，將SIM卡處理/儲存的資料都數位化後儲存在特別的晶片裡。只要手機有設好足夠複雜的帳號密碼，就可以保證這些資料不致於外流。eSIM還有個好處就是隨時可以切換，一支iPhone可以存好幾張eSIM在手機裡，出國就不用帶實體SIM卡。在有些國家，當您買新的iPhone時，eSIM還可以轉換到另外一支iPhone手機。 不過這個功能在台...

為充實同仁資安認知與常識，我們特別從「e等公務員」、「臺灣資安大會」 等平台精選了一般大眾皆可修習且適用於我們公司資安環境的資安及個資法課程，供同仁利用工作空檔時可加強自我資安知識的管道。 尤其是「e等公務員」學習平台，匯集了所有公務人員必須取得法定教育訓練時數的課程，其內容與品質均有一定的水準，且不乏委託著名資安專家所製作的節目，相信大家上過課後，對建立資安意識與觀念，會有相當大的幫助。另外，台灣年度資安大會的講座，從2024年開始上架至Youtube，我們會在後續增加相關的連接供同仁參考。 依據「資通安全法」相關規定，不同資安責任等級的公務單位，每位員工都必須取得一定的資安教育訓練時數。以C級機關(如：臺北市殯葬處)為例，每位員工每年至少應修習3個小時的資安通識課程 時數。 圖：月刊網站從四月開始增加了置頂頁籤網頁，內含眾多資安教育訓練資源 目前我們上市櫃公司雖然尚未規定必須每年員工必須修習多少時數，但在 「上市上櫃公司資通安全管控指引」§6 有明確要求， 所有使用資訊系統之人員，每年接受資訊安全宣導課程；負責資 訊安全之主管及人員，每年接受資訊安全專業課程訓練 。 未來是否會將時數納入要求，目前尚不確定。因此，建議若同仁欲參與 「e等公務員」平台的課程，可依照月刊網站首頁 頁籤 「 如何取得資安認知教育訓練 終身學習時數證書 」的網頁說明，申請「e政府一般民眾帳號」登入平台後再報名上課，就可以完成課程後取得時數證書，未來若有需要證明，就可以直接提出，不必再追加上課。 圖：若要取得上課時數，請記得使用「我的e政府」帳號登入。 詳細操作說明可點此 圖：完成e等公務園課程後，可列印終身學時數證書 除了 連至月刊網站參與課程訓練 ，我們還會不定期更新「 資安議題講座 」，於每個月寄送月刊時一併推送，歡迎同仁多加利用，一起加強彼此的資安意識，讓駭客感受得到難以滲透，自然就會減少試探攻擊的意圖，找尋其他公司了。 圖： 台灣資安大會講堂上架至Youtube頻道 ， 對於全民資安知識的推廣有相當大的幫助 延伸閱讀： 1. e等公務員會員登入常見Q & A 2.  如何取得資安認知教育訓練 終身學習時數證書

在當今數位時代，定位資訊已成為日常生活的一部分。然而，這些資訊是否構成個人資料？使用 AirTag 追蹤他人是否合法？這些問題涉及個人隱私權、刑法與個資法的適用範圍，值得深入探討。 什麼是 AirTag？ AirTag 是蘋果公司於 2021 年推出的一款藍牙追蹤裝置，設計用於幫助使用者找回遺失物品，例如鑰匙、錢包或背包行李箱等等。 AirTag 透過 Apple 的「尋找」(Find My) 網路運作，利用附近的 Apple 設備匿名回報其位置，讓使用者能夠在 iPhone、iPad 或 Mac 上追蹤物品的所在位置。然而，AirTag 也因其小巧隱密的特性，被不法人士濫用於秘密追蹤他人，導致隱私與法律上的爭議。 什麼是個人資料？ 根據 《個人資料保護法》第 2 條 ，個人資料指： 姓名、出生年月日、國民身分證統一編號、護照號碼 特徵、指紋、婚姻、家庭、教育、職業 病歷、醫療、基因、性生活、健康檢查、犯罪前科、 聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。 而 GPS 長時間記錄的定位資訊可揭示個人的「社會活動」 模式，已被台灣法院認定為間接識別之個人資料。因此，未經當事人同意擅自蒐集、使用 GPS 追蹤資訊，的確有可能違反個資法。 圖：坊間已出現號稱可以維持十年電力的Airtag 追蹤電池盒 使用 AirTag 追蹤他人是否合法？ 蘋果公司在其官方免責聲明中強調：「AirTag 設計的目的僅供追蹤物品，而非個人。」若將 AirTag 用於追蹤他人，可能違反當地法律。為防止濫用，蘋果已設計「防追蹤機制」，如 iPhone 會偵測陌生的 AirTag 並發送警告，安卓用戶亦可透過應用程式進行偵測。這使得被害人更容易發現並提出法律訴訟。 相關法律規範與案例 在台灣，未經同意使用 GPS 或 AirTag 追蹤他人，除可能觸犯 《個人資料保護法》第 41 條 外，還可能觸犯 《刑法》第 315 -1條 （妨害秘密罪：「無故以錄音、照相、錄影或電磁紀錄竊錄他人非公開之活動、言論、談話或身體隱私部位者」），最重可處 3 至 5 年有期徒刑。實務案例中， 2014 年「新光公主案」即是一例 。新光集團長公主吳欣盈的配偶為調查其行蹤，在其車輛安裝 GPS 追蹤器，法院最終認定此行為侵犯隱私權，構成妨害秘密罪。 如何合法蒐證？ 若有正當需求，建議採取合...

近期資安署以及TWCERT(台灣電腦網路危機處理暨協調中心)陸續發布的最新資安月報指出， 冒牌軟體和網站的威脅日益嚴重，已經成為近期面臨的重要資安威脅之一，需要特別謹慎防範 。例如：駭客頻繁 假冒財政部，以「稅務調查」為名，對臺灣政府機關與企業發動針對性的社交工程攻擊 。為了確保各位在使用網路時的安全，請務必留意本期宣導訊息，正確地使用電腦系統，以保障同仁的權益。 一、 警惕假冒知名網站或官方的社交工程攻擊： • 資安署的報告特別提到，駭客會 偽冒財政部名義，發送「稅務調查」等主題的電子郵件，針對具有敏感資訊存取權限的財務人員，誘騙他們開啟郵件中的惡意連結或附件 。 • 這些攻擊 不限於電子郵件 ， 駭客也可能透過我們工作上可能會使用的外部網站，例如駭客可能 透過求職網站寄送履歷 的過程，傳送夾帶惡意程式的檔案或連結 。他們會利用這些網站的可信度，誘使承辦人下載並執行惡意程式，進而滲透到我們的內部網路 。 目前本類事件已上新聞 ，可能會造成模仿效應，請人資單位同仁務必留意可疑檔案的傳輸過程。 二、臺灣上市櫃企業接二連三遭到 大陸駭客組織CrazyHunter攻擊 3月初彰基醫院證實連假期間遭遇網路攻擊 ，經衛福部介入協助之後，確認是大陸勒索軟體駭客CrazyHunter所為，研判在馬偕和彰基之後，駭客會尋找下一間醫院發動攻擊。但如今，傳出這些駭客針對臺灣其他產業下手的情況。 直至本篇報導發行之際， 陸續已有科定、喬山、國揚建設、精誠資訊及居易科技發布重訊遭到該組織攻擊 ，由於該組織擅長以特別的技術攻擊網域認證主機(AD)，並且透過Windows 群組政策(Group Policy Object) 發送惡意程式，一旦發動攻擊，同仁們幾乎無法及時防備，我們也是上櫃公司之一，請務必在這段期間保護好自己的資料，並儘量配合下列宣導事項。 三、 請同仁配合以下的防護措施： 維護軟體白名單機制 ： 為確保公司內網不被惡意程式入侵，我們將持續 限制未經授權軟體的安裝和執行 ( 註1 ) ， 請同仁在決定安裝軟體前，先跟網路系統部同仁詢問是否可以安裝此軟體，並且依指示填寫系統需求單，以配合公司的相關政策。 機敏、重要資料務必做 備份或加密 ： 許多同仁仍偏好將重要資料放置於本機硬碟(C:、D:)，但以現今的資安環境，本機電腦在遭遇攻擊時，對抗能力卻是最弱的。由於IT部門目前備份服務只...

在職場上，我們經常接觸到客戶、同事或合作夥伴的個人資料，包含姓名、電話、地址、身分證字號等。但你知道嗎？如果不當使用或洩漏這些資訊，可能會觸犯《個人資料保護法》（簡稱個資法），甚至面臨刑事責任。 ◎什麼情況下可能會負上刑責？ 根據 個資法第41條 ，若「 意圖為自己或他人不法之利益 」或「 損害他人利益 」，而「非法蒐集、處理或利用」個人資料，可能會被判 五年以下有期徒刑，且得併科新臺幣一百萬元以下罰金 。 個資法41條明定，觸犯個資法第6、19、20條且造成他人損者害者，將處刑責。 第6條規範違法蒐集特種個資；第19條禁止無正當理由未經當事人同意蒐集個資； 第20條則限制個資的使用不得超出原先蒐集目的。 ◎以下是幾種可能讓你觸法的情境： 私下帶走或販售公司資料 某員工因即將離職，將客戶名單偷偷存入 USB隨身碟或寄到個人信箱，準備跳槽後使用。這樣的行為，若涉及營利或傷害原公司利益，就可能構成刑責。 隨意洩漏客戶或同事的個資 有些人可能為了開玩笑，將同事的電話號碼或住址公布在社群媒體上，或是將客戶資訊提供給朋友從事行銷活動。這些行為可能違反個資法，若導致當事人受害，甚至可能負上刑責。 不當利用個資進行詐騙或牟利 如果你因工作關係能接觸客戶個資，卻將這些資料提供給詐騙集團，或是自己冒用客戶資料申請貸款、信用卡等，不但可能面臨個資法的刑責，還可能涉及詐欺罪。 意圖報復或惡意揭露他人隱私 有些人因個人恩怨，將他人的個資曝光，甚至散布病歷、財務狀況等敏感資訊來攻擊對方。這不但違法，還可能導致嚴重後果。根據個資法第41條，這類行為若涉及「損害他人利益」，同樣可處 五年以下有期徒刑，得併科新臺幣一百萬元以下罰金 。 ◎個資法的罪責都是告訴乃論，但上述第41條不在此限 依 個資法45條 的規定，個資法章節之罪，須告訴乃論(即：個資被侵害的被害人提出告訴後，檢察機關才會受理偵辦)。但涉及『意圖為自己或他人不法利益』或『損害他人利益』的違規行為，檢察官可主動偵辦，無須等被害人提出告訴。遭調查的同仁可能會遭到國家提起公訴，同仁不可不慎! ◎如何避免觸法？ 遵守公司資安規定： 不擅自存取、下載或儲存保管大量個資 保管個資檔案是一門非常專業的課題與責任，同仁每天忙於工作已經很辛苦，真的不要再逼自己保存大量客戶資料。依 殯葬業個人資料檔案管理相關的規定 ，外洩個資超過一千筆就必須通報主管機關...