近日,台灣某旅行社驚傳遭到駭客攻擊,高達23GB的旅客個資在論壇外流。即便業者第一時間致歉並報警,但商譽的損失與法律責任早已難以挽回。土城網絡創意制作室針對此事件,從網站開發與數位防禦的角度,為企業主解析為何「預防」遠比「報警」更重要。
傳統企業不願投資資安的代價,省了小錢,賠了整間公司的信譽,許多傳統企業在數位轉型過程中,往往將預算投入在看得見的「網頁美觀」或「廣告投放」,卻對看不見的「資安防護」嗤之以鼻,認為客戶第一印象最重要,因此資訊服務商也最容易忽略客戶不懂的這些重要細節。
土城網絡創意制作室指出,不願意提升資安的後果通常是連鎖性的, 一旦個資外洩,可能面臨後續提供數位商品的企業可信度,這筆錢足以開發更多個高強度的資安合規網站。 舊系統架構若不及時檢查或更新,數位資產可能變資安地雷,就像是門窗壞掉的豪宅,駭客隨時能進出,23GB的數據並非一朝一夕能竊取,其中可能包括任何使用者在網站上提供給旅行社的各種交易資訊,這代表網站需要更嚴謹的資安管控。
每當發生DDoS攻擊或是網站被勒索病毒綁架時,企業最常見的操作就是「發布聲明、誠摯道歉、報警處理」。但在專業開發者眼中,這往往是亡羊補牢。很多公司老闆覺得「機率很低應該不會是我」。但事實上,駭客攻擊往往是使用自動化掃描、網頁爬蟲,只要網站有未及時補起的漏洞,誰都可能是目標,加上低估DDoS的破壞力,如果中招網站癱瘓不僅是幾小時無法營業,更是搜尋引擎排名(SEO)的崩跌。
我們認為報警是法律程序的義務,但無法救回已經流出的個資,也無法撫平消費者的擔憂。真正應該負起的企業責任是在網站規劃初期,就將防火牆、資料庫加密、滲透測試納入核心成本,給企業的真心建議,資安不僅僅只是開銷,這次案例給了所有企業一個警訊,在網路世界,沒有百分之百的絕對安全,但你可以築起讓駭客覺得「攻破成本太高」的高牆。
