二○一一年索尼（SONY）公司PS3遊戲機的網路付費平台遭駭客入侵，包括Play Station Network（PSN）及Qriocity音樂服務的七千七百萬用戶個人資料外洩，創史上最大規模的網路個資外洩事故。確認外洩的資料包括帳號、密碼、密碼提示問題、玩家住址及消費紀錄，包括台、港、日、東南亞在內的PSN亞洲區共有九百萬玩家深受影響。而台灣也有玩家於討論版發文表示，被盜刷二千七百元台幣，是一筆外國的美元交易。

這起新聞事件造成的影響，再度引起各企業經營者與網路用戶對網路資訊安全的關注，尤其，當前網路科技已成為現代企業不可或缺的營運系統，但網路世界的安全與穩定程度所造成的風險影響，超乎一般人的認知。無論目前企業或個人管理的是伺服器、網路、桌面還是通訊系統，或是接觸網路應用程式、作業系統、網路組態還是資料庫，資訊安全都已是今日最無法忽視的問題。

企業經營風險 控管不夠易遭竊取

美亞產險商業保險處協理鄭智友表示，隨著地下經濟犯罪的猖獗，專業駭客想盡辦法利用每一個可能的漏洞滲透個人網路系統，偷走有價值的機密資料，或利用個人主機當成攻擊別人的跳板；有些是企業內部的使用者對危險認知不足，隨時可能有粗心大意的員工或居心不良的訪客，在企業的網路或系統中掀起一場資安風暴。

蘇黎世產險商業保險事業處協理吳素貞也提到，許多企業組織外包其伺服器、資訊技術及網路安全的管理給承包商，但其中的網路風險也會加劇，因為承包商可能對於業主之資訊安全或業務持續性保障的資訊所知較少，也可能將業務再外包給第三方的公司，如果企業內部人員無法有效落實管理，就有可能會產生資安漏洞，但因為網路科技日新月異，即使所有相關人員都已極力注意資安的管理，仍可能無法完全避免遭受駭客的攻擊。

預防七項關鍵風險 資訊安全機制需建立

吳素貞提到，蘇黎世產險發表最新網路風險報告顯示，網路應用有七項關鍵性風險可能為企業帶來系統性互連的危險，包括內部資訊科技項目、對手方及合作夥伴、承包商及訂約、供應鏈、顛覆性技術、上游基礎設施包括雲端、Data，及新發展技術可能的潛在風險及外部衝擊等。

即使是網路安全專家也無法洞悉組織失誤或技術故障，會如何發展成危及整個系統的風險，因此為避免企業對資訊科技的依賴，造成如當年二○○八年金融風暴一般的嚴重後果，各個企業組織必須有效防止資訊遭竊取、竄改、滅失或遺漏，即必須確保資訊的機密性、完整性，目前技術有傳輸資料加密、通道加密（SSL、VPN、IPsec）、電子簽章、自然人憑證等。

資安風險難防 損商譽、賠償影響大

二○一二年四月二十七日立法院三讀通過「個人資料保護法」（簡稱「個資法」）之後，對於蒐集、處理及利用個人資料訂出嚴格的規範。如果發生洩漏個資的情形，除非業者能夠證明已盡到應盡的責任，否則新版個資法規定，每筆資料須賠償當事人五○○元到二萬元不等，單一事故合計最高賠償金額可達二億元，是舊法最高賠償金額的十倍。此外，如果違法蒐集、處理、利用或變造個人資料而造成他人權益受損，最高還可能面臨五年的刑期。

但企業於每天的資料處理中，都難以避免要處理或經手各式各樣的資料，不管是客戶的商業資訊、或繁瑣的會員資料，如果外洩可能造成企業商譽損害。有研究指出，二○一一年亞太地區約有百分之七十五的企業曾遭受網路攻擊，資訊的洩漏除了影響商譽，還有後續的賠償請求也十分可觀，資料保謢與安全隱私的保障是企業經營的重要課題。

資料保謢與隱私保障 維護企業聲譽

台灣有美亞（AIG）、蘇黎世、富邦、安達（ACE）等產險公司提供資訊安全保護的相關保障。鄭智友表示，企業資料保護保險可依據企業的需求量身訂做，並提供發生問題後的危機處理顧問支援，承保範圍包括企業機關需要法律諮詢或委任律師代理所產生的費用支出、依法向資料所有人揭露有關資料外洩所支出的費用、減輕賠償請求的名譽修復，以及因企業違反資安而採取判斷是否能修復、重新蒐集或重置的費用。

吳素貞也提到，安全與隱私保護保險可協助客戶處理相關法律責任風險及其損失，包括企業經營者與承包商的行為對第三人所造成的損害，以及因資訊安全問題額外產生的費用，如客戶的銷售網站因受駭客攻擊導致服務中斷所蒙受的營業損失，也能獲得補償。此外，若客戶在保險期間內被收購，除了違反公平交易法的行為、智慧財產權或不法行為等為保險除外事項，其它在收購前發生的任何不當行為或隱私事件也提供保障。

重視人員管理 降低損失風險

鄭智友提到，目前雖然有個資法保障，或因應網路風險不斷推陳出新的技術，但企業普遍還是自我感覺良好，有些甚至不知資料已被洩漏，尤其是網路經營平台，更需要額外保障，由於網路科技已開發進步到可以將個人使用者後面多向連結、取向查出，假設一個人未關閉手機GPS，駭客可透過程式竊取使用者的姓名並取得背後兩百多筆資料欄位，這些程式甚至會運算出會員的未來需求，若無防備則會員資料易被查詢洩漏，可見防護範圍是無止盡的。

因此，除了法律、保險等保障，企業也要更重視資訊的風險管理，除了可由委外的資安顧問處理，將防火牆、電子簽章、資料加密外，「人員」的教育訓練與管理更加重要，員工面對發生問題的危機處理，以及不只靠防毒軟體、使用者手動更新，更應建立集中更新機制，資料的安全措施也要注意生命週期，並分級分類標示，留存使用稽核紀錄等，才能達到降低損失、提高效益的最高目標，讓企業擁有全方位的安全與隱私保障。