【臺灣資安大會直擊】個資保護委員會籌備處建議用MFA確保使用者身分安全，並以高安全性多因子驗證來提高攻擊難度

「許多人會問個資保護與資訊網路安全到底有什麼關係？答案是兩者之間有關係!」，個人資料保護委員會籌備處隱私科技組組長林逸塵在今年資安大會上這麼說。

在日常生活中，個人隱私資料無所不在，近幾年運動健身盛行之下，物聯網、個人穿戴裝置興起，運動健身App蒐集個人運動數據，使用者分享運動的熱點，這個行為看似和資安無關，但如果再結合更多其他資訊，可能使得原本保密的軍事基地位置被曝露出來。

林逸塵以美國NIST的隱私框架1.0為例，目前已釋出1.1版本草案，在該版本的草案中，網路安全風險與資安事件相關，資料的CIA(Confidentiality, Integrity, Availability)，資料的機密性、完整性、可用性，破壞資料的機密性是未經授權或意外傳播個人資料，破壞完整性是未經授權更改資料，例如駭客入侵竄改資料，影響資料的完整性，破壞可用性則是破壞資料正常的存取運用。

隱私風險則和隱私事件有關，指的是資料在蒐集、處理、利用的過程中產生的風險。資安事件可與隱私發生交集，即資安事件可能涉及隱私風險議題。

美國NIST SP800-53提出資訊的控制措施，對應於隱私框架中，讓外界知道如何運用這些措施確保資料的機密性、完整性、可用性。

當資料發生風險的機會愈高、嚴重程度愈高，資料蒐集者(企業)就需要通知資料主體(使用者)可能受到風險的影響，並且向主機單位通知，例如先前知名交通服務業者發生用戶資料外洩，向用戶通知可能產生的影響，並且得向主管機關通報，先前國內醫院被駭的案例，影響到病患資料的機密性、可用性。

林逸塵表示，資料的機密性、完整性及可用性的意涵，包涵在國內的個資法第27條，對於非公務機關保有個人資料檔案者，應採取措施，以防止個人資料被竊取、竄改、毀損、滅失或洩漏，業者需要採取技術及組織上的相關措施，不論業者的規模大小，業者需要說明在11項要素做了什麼，若業者無法說明做了什麼，或是說明不夠清楚則可能受罰，依據個資法第48條，如果發生的事件嚴重且不改正，最高可能處1,500萬元罰鍰，已接近於金管會對金融業者的裁罰。

資料保護的PDCA四步驟

林逸塵指出，對於資料及資安保護採取PDCA四大步驟，規畫(Plan)、實施(Do)、檢查(Check)、改善(Adjust)，數發部產業署在2023年提出詳細的PDCA各步驟要求，可供企業參考之用，只要公司內有資訊系統，除了要符合資訊服務業者的PDCA四大步驟，還需要遵守各自業別的法律規定及資料保護要求。

在PDCA的細項要求中，包含了組織性和技術性的要求，組織方面，例如要設置專門管理的單位，執行資料盤點、風險評估、法遵、教育訓練、稽核等等，當不幸發生資料外洩事件，必需通知當事人及主管機關。另外，事件發生後，採取補救改正的措施也相當重要。

採用MFA提高駭客攻擊門檻

在PDCA裡，實施(Do)要求企業需確保資料安全、人員安全、設備安全，林逸塵表示，只要企業有資訊系統及資訊設備，對個資進行存取、新增或修改，就需要符合資料安全、人員安全、設備安全的要求。

對於技術性的控制措施，身分驗證、鑑別、權限控管相當重要，其中在身分鑑別方面，除了傳統使用的帳號及密碼，近幾年倡導使用MFA(Multifactor Authentication)多因子驗證，利用兩個以上的身分鑑別因子搭配進行驗證，例如SMS簡訊、OTP、通行碼或識別碼(PIN)、卡片、生物特徵、活體特徵等等。

CISA將MFA分為三種類別，一種是使用SMS或語音的MFA，另一種是使用App的MFA(例如OTP)，第三種為防止網釣的MFA(例如FIDO或Public Key Infrastructure)。

林逸塵表示，鑑於網路釣魚攻擊手法盛行，目前已有不少採用MFA多因子驗證的情境，例如企業的旅遊管理入口網，除要求用戶輸入帳號密碼，也要求用戶在手機上安裝身分驗證應用程式，從App取得OTP，以多因子驗證使用者的身分。

他也以個資委員會籌備處收到的三個案例，駭客利用撞庫攻擊，利用取得的甲網站帳號密碼，來測試登入乙網站，其中一個案例是運動報名網站，業者監控發現網站出現異常流量，多組來自境外IP的暴力攻擊，所幸被防火牆擋下；另一個交通會員系統，則是發現有心人士透過其他管道取得民眾的個資，登入其會員系統，使用其點數兌換商品券。

防範的技術性的措施，例如要求用戶設定長密碼，或是企業限制IP，都會造成用戶的不便，林逸塵認為最好的方式是採用MFA，避免干擾用戶，同時也增加攻擊的難度。

採用MFA不同的因子安全性高低有別，根據資安院的研究，使用生物特徵的安全性最高，但成本也比較高，使用電子憑證的安全性及成本次之，而使用通行碼的安全性最低，但使用成本較低。

值得注意的是，過去常使用的SMS簡訊或OTP作為MFA驗證的因子，但是許多研究證明SMS或OTP可能受到中間人攻擊，因此採用MFC，因此，林逸塵也建議應該將因子安全性高低納入考慮，例如採用電子憑證或生物特徵，甚至是將更多的因子綁在一起，提高攻擊的難度。