另外要提的是,有關於個資的部分,因為這部分現在還會跟著中央目的事業主管機關一起做行政檢查,包含重大介入、協助他們提供意見,看如何就個資外洩的部分來做改善,從技術面出發,看他們系統、架構跟配置有無問題,他們也找廠商來做鑑識跟處理之後,我們會去看他們後續的補強措施是不是合理、是不是可以針對這次事件來做好好補強,未來是不是因為同樣的事件、原因再發生,我想這是有關於通報部分處理的狀況。
前陣子有看到在論壇上,有一些論壇上會販賣個資、敏感的資訊,我們剛好看到某個企業,賣的人聲稱有 2T 左右的企業內部資料,剛好那個企業剛要加入會員,有提出申請、我們在審核當中,我們剛好注意到這個企業剛接到申請書,所以就依照這個狀況直接通知那個企業,確認這些資料是不是他們內部洩漏出去,是不是真的如賣方所說有這些資料在販售。
我覺得比較重要的狀況是,來做通報的類型其實相當多,我舉一個例子:我們主動通報,我們會有人做 7×24 小時的監控跟搜尋,除了幫公務機關之外,也幫民間來做這些事。
產業的類別,科技業算是相對比較多一點,當然民間中小企業有的也是蠻有興趣,有的在洽談希望加入 TWCERT/CC,希望提供一些服務,以上說明。
剛剛我們的院長、部長有提到,現在沒有法源依據做這件事,目前通報的數量,我們接手三個月左右,目前接手 20、30 幾件數量,這些資安事件類型也蠻多的,五花八門都有,大概是 20 到 30 件左右的數量。現在大概有 500 個會員左右,從我們接手到現在大致上成長了 10%的數量,我們持續推廣這件事。
