維基解密（WikiLeaks）近來動作頻頻，從二○一○年伊拉克戰爭美國軍方檔案，到美國在台協會的往來信件等，來自美國政府及其重要組織的機密文件大量曝光，由於公佈的內容及時間均相當敏感，常常引起社會一片譁然，據報稱，除了美國，維基解密還擁有許多政府與企業的機密資料，讓各國政府、企業無不聞之色變。

維基解密引發的爭議，突顯網際網路的應用，除便利以外，還帶來資訊洩漏的風險（Cyber Risks），政治大學資訊管理學系助理教授郁方指出，只要電腦網路對外連線，就無法百分百杜絕這一類風險。

企業e化 網路風險元兇

早期企業或政府以紙本方式管理機密文件，隨著電腦普及，這些機密文件開始以數位的方式呈現，但因內部電腦不對外連線，駭客也無從入侵，除非有心人士從內部將資料存取外洩，否則並不會有資訊安全的疑慮。

鑽研資訊安全多年的郁方指出，網路風險是從企業e化衍生出來的問題，企業開放內部員工透過網路傳遞電子郵件、民眾利用網路享受企業服務或登入企業系統存取資料，這些動作都必須透過網路執行某些應用程式才能進行，就像在封閉的內部網路上打開一扇門，讓駭客有機可趁。

為了保護內部網路，企業必須強化網路應用程式（Web Application）的安全性，然而增設如防火牆（Firewall）、防毒軟體、存取輸入密碼等保護機制，對網路應用程式的幫助其實相當有限。郁方指出，駭客有機可趁，主要是因為程式設計疏漏進而暴露弱點。

強化守門員與內部系統 維護資安

根據OWASP（Open Web Application Security Project，開放式網路應用程式安全計畫組織）二○一○年統計，最常見的網路應用程式弱點第一名為Injection Flaws，意指「注入弱點」，通常存在於開放使用者輸入的應用程式中。最廣泛的預防機制就是使用者輸入驗證（Input validation）。這類機制就像守門員一樣，過濾使用者輸入的內容，從而保護內部系統不被攻擊。

郁方解釋，常見的使用者輸入驗證可分為兩種類型，白名單（White List）與黑名單（Black List），前者指使用者輸入必須與內建名單相符，才能正確的登入系統或執行命令，但因許多指令不在內建名單內，輸入後不被程式接受及反應，容易引起客戶抱怨。

黑名單則相反，只有內建名單上的指令被輸入才不被執行，規範較白名單寬鬆也較容易被攻擊，黑名單上通常是駭客曾經使用過的攻擊指令或注入病毒碼特徵，但容易因為名單來不及更新、或攻擊本身的變異，使得駭客仍有機會對程式本身的漏洞進行攻擊。

而跨站腳本攻擊（Cross Site Scripting，或簡稱XSS）與身分驗證功能缺失（Broken Authentication and Session Management）則名列最常見的網路應用程式弱點第二及第三名，而這兩者只能靠強化內部系統抵擋駭客攻擊。

郁方指出， 上述三個弱點早在二○○七年就名列前矛，可怕的是，即使全球有成千上萬個資訊工程人員在進行防護修補，三年多來這些弱點依然廣泛存在於網路應用程式。

資訊安全技術與駭客技術一體兩面，郁方表示，資訊工程人員必須多了解駭客技術才能進行有效防護，而駭客也必須瞭解防護技術才能發展出新的攻擊方法，也就是說，兩者立場很可能因為各種因素互相交換。

資訊風險保單 損失最後防線

怡安班陶氏保險經紀人（AON）金融及專業責任保險部門專案協理陳育琳指出，資訊損失可大可小，在保險市場來說，還是新興風險，目前全球只有不到十家保險公司願意承做這類保單。

根據統計，企業處理每位資訊失竊受害者的平均花費為八十到兩○○元美元（相當於新台幣六○○○元），而資料流失通常有數以萬計的客戶受害，資料被竊的損失十分高昂。

陳育琳分析，資訊風險造成的損失依企業特性而定，以維基解密揭露的機密文件為例，雖然對美國政府聲譽造成打擊，但損失無法以金錢量化，因此保險公司無法承保；若是企業客戶資料被竊，後續的訴訟費用、賠償金、資料修復成本等可預見及量化的損失，才是資訊風險保單可以承保的範圍。

目前全球投保資訊風險保單的客戶中，有半數是醫療照護機構，三成來自科技業與金融服務業，剩下兩成才是零售業、製造業及律師、會計師等專門職業人士。就台灣市場來說，以跨國企業在台分公司的投保率最高。

陳育琳指出，資訊風險保單在台灣尚未受到重視，因為台灣企業若有一筆資金可運用在資訊風險管理，絕大部分會把錢用在前端的資訊安全維護，保險恐怕是最後被考慮的選項，若前端防護被破解，因為沒有保險，損失只能自行承擔。

目前台灣十九家產險公司銷售的保險商品中，只有一張保單與資訊風險相關，陳育琳分析，過去國內企業少有資安風險意識，對此類保險沒有需求，國內產險公司沒有經營這類保險的經驗、專業人員與核保技術，若將來要銷售此類商品，必須先仰賴國際再保險公司的技術。

陳育琳指出，這類保單必須客製化，沒有固定範本，因損失幅度大，保費並不便宜，且由於損失風險高，保險金額大部分被限制在五○○萬至兩○○○萬美元。

目前這類保單可以承保的範圍，AON表示，大略分成四個項目：網路隱私及安全責任保險、資料外洩的危機處理費用、營業中斷或是資料損失及網路媒體的責任。

網路隱私及安全責任保險可承保企業因客戶、員工、學生或病人等第三方資料外洩所需負的賠償責任，其中也包括個資法所規定的資料保護責任。

資料外洩的危機處理費用則指在處理資料外洩的過程中，企業需要立即成立一個調查小組，了解實際狀況、防止事態擴大並進行客戶通知等。資訊風險保單即可在保額內支付這筆開銷。

而營業中斷或是資料損失，以及網路媒體的責任皆是資料外洩所導致的損失，前者包含網站被駭客綁架導致無法繼續營業，或是資料被竊導致營運暫停，後者指的是當資料外洩後，網路媒體的快速傳播、毀謗或隱私權、版權及商標的侵權訴訟等。

網際網路的方便，從目前盛行的網路銀行、線上投保、政府e化便民服務等可以略知一二，但是在享受網路帶來的便利時，也同時面臨資訊安全的風險。郁方指出，除非不使用網路，否則任何企業、政府內部系統被駭客入侵都是遲早的事情，所謂道高一尺魔高一丈，防護技術的進步不一定能趕上駭客開發新攻擊手法的速度，企業在e化的同時，最好也做足資訊風險管理規劃。