您的位置: Sony旗下包括Play Station Network、Qriocity音乐随选服务,及在线游戏子公司网站Sony Online Entertainment,都遭到黑客入侵,外泄资料总计超过1亿笔
索尼(Sony)PlayStation Network(PSN)在4月20日遭黑客入侵,被窃取7千7百万笔PS3及Qriocity音乐随选服务使用者的个人数据;在5月3日又被揭露,Sony旗下线上游戏子公司网站Sony Online Entertainment(SOE)有2,460万笔个人资料遭到黑客窃取。
至于饱受争议的信用卡资料是否外泄,Sony先前7,700万笔的外泄个资中,仍未确认其中1千万笔信用卡资料是否外泄,但在在线游戏SOE外泄的资料中,则确认黑客成功取得23,400笔、从2007年后逾期的信用卡资料,美国以外有12,700笔的信用卡卡号及有效日期数据遭窃。
也就是说,Sony迄今遭到外泄的个资已经超过1亿笔,外泄个资内容包括用户名称、地址、电子邮件信箱、生日、性别、电话号码、账号、密码等,甚至有外电报导,连PSN安全提问的问题也在外泄数据之列。Sony在第一波暂停PSN服务大约3天后,才对外公布个资外泄的事实。
设资安长综观全局
面对这场史上最大规模的个资外泄事件,日本Sony总公司则在日前一场记者会中对外表示,在此次个资外泄后,该公司将增设信息安全长(CISO)一职协助处理后续个资外泄事件,并直接回报给信息长Shinji Hasejima。
由于美国加州法规规定,企业一旦有个资外泄,必须第一时间告知使用者,美国加州法院也已接到来自Sony用户的集体诉讼,控告Sony未能妥善保存使用者的个资。
从Sony没有立即因应法规、告知使用者其个资外泄而遭到集体诉讼的事件,而Sony后续紧急因应措施之一便是设立信息安全长(CISO)来看,长年担任跨国银行负责信息安全和法规遵循主管、现任星展银行合规及企业保安部副总裁徐子文表示,「这证明Sony在法规遵循与资安管理上面,缺乏一个能够综观全局、掌控资安管理与落实法规遵循角色的资安高阶决策主管,让Sony面临这种紧急危机时,必须紧急设立资安长这样的角色。」他说。
徐子文认为,信息安全的确是需要IT技术来协助解决资安问题,但「资安本身其实是一个法规遵循以及资安管理的课题,」他说,尤其是法规遵循更是企业生存的必要限制条件。如果企业认为资安只是技术问题时,便会忽略法规遵循和资安管理的必要性。实例就是,Sony得面对因为违反法规,遭到集体诉讼、进行高额求偿。
徐子文认为,资安长的权力来自组织的位阶和高阶主管的授权,事实上,资安长是否具有CXO位阶或是设立在信息长之下都不是重点,关键在于是否具有独立决策功能,「只要资安管理和法规遵循的决策,都不要Bypass资安长,资安决策才会有影响力。」他说。
台湾BSI副总经理蒲树盛表示,美国信息长和信息安全长是唯二薪资持续增高的IT职位,这也证明企业对IT治理与资安管理都有强烈的需求。
但蒲树盛说,台湾许多已经通过ISO 27001资安认证的企业,或许都有资安管理代表以及相关的组织,但因为IT部门普遍仍被视为成本或后勤支持部门,「当信息长角色在台湾企业都不普遍时,更遑论信息安全长的存在。」蒲树盛说道。
