勤設密碼升權限 公務檔案不外洩
資料來源:教育部全民資安素養網
公務檔案應設定密碼及提高存取權限
北市府資訊局「薪資發放管理系統」驚傳資料外洩,外界只要用雅虎搜尋引擎搜尋,就能搜尋到多個北市府單位員工薪津清冊,包含姓名、職等、銀行轉帳帳號、薪資津貼等資料全都露。
對此,資訊局12日上午緊急召開記者會表示,9日晚間7時20分已接獲警局通報,發現搜尋引擎可查詢若干同仁的薪資資料,預計約有190筆資料受影響,其中包括內湖分局、工務局、建管處、地政局等市府局處單位,通報後10分鐘內已用防火程式將資料連接關掉。
資訊局長李維斌表示,薪資發放管理系統開發至今已有15年,至今都未更新,15年老舊系統,有什麼問題很難知道,去年底預算審查時,即打算強化資訊作業的安全性,所以今年有編列相關預算,對於外界認為薪資發放管理系統有更新,應該是誤解。
李維斌表示,外洩的資料不包括員工身分證字號,原本僅列為第一、二級資安事件,不過今早討論,認為銀行帳戶資料也涉及個資,目前資安等級已提升至第三級。
至於是否和駭客有關?又或是管理系統的漏洞?李維斌表示,主要是各局處在製作薪資報表時,會暫存在目錄裡,研判是因為資安等級沒有設得很高,導致搜尋引擎的爬蟲,可以搜尋得到,這是存取權限的問題。
李維斌表示,目前搜尋引擎的爬蟲還是可以爬得到,點進去絕對沒有檔案,190筆的外洩資料,大多是北市府的外單位。
至於究竟有多少人「下載」這些資料?李維斌則坦言,確實不知道。不過外洩的資料中,又以銀行帳號的影響比較大,今將個別通知受影響的員工,建議增加網路銀行的強度,另也會針對全府員工宣導網路安全守則的教學。
不過外界質疑,這個「漏洞」究竟持續多久?李維斌表示,奇摩搜尋到的是文件的超連結,而非文件檔案的本身,應該是最近的事情,會再針對這些外洩單位了解使用狀況,看看是否有什麼異常的狀況。
李維斌強調,各家搜尋引擎能力不斷增強,程式設計為了兼顧資料的安全性及便利性,也面臨嚴酷挑戰,未來也會積極補強,避免類似事件再度發生。
防範之道:
1.使用公務電腦時請勿下載及使用來路不明軟體。
2.含有同仁個人資料或機敏資訊之檔案務必設定密碼上鎖,同時提高存取權限,並儲存於硬碟中隱密位置。
3.機關電腦應安裝正版防毒軟體及設定防火牆,並定期更新軟體系統,減少駭客入侵機會。