資安警示
相關新聞事件
兆豐銀行基隆分行汰換 27 部電腦,其中 11 部委外銷毀卻未派員監控,導致硬碟未完整格式化,內部資料流入二手市場。金管會以「未落實內部控制」為由,裁罰新台幣 200 萬元。此類事件屢見不鮮,銀行個資外洩問題引發主管機關高度關注。
格式化,真的能刪除資料嗎?
許多企業在汰換電腦設備時,習慣對硬碟執行「格式化」,以為這樣就能徹底清除資料。然而,資訊安全專家早已指出,一般的格式化操作,僅是刪除檔案系統索引,告訴作業系統「這塊空間可以重新使用」,實際的資料位元仍完整保留在磁盤上。
透過市售甚至免費的資料還原軟體,有心人士往往能在幾分鐘內,從「已格式化」的硬碟中還原出大量敏感資訊——包含帳戶資料、交易記錄、員工個資,乃至客戶身分證字號等。
一旦外洩,企業面臨哪些風險?
主管機關裁罰
金管會可依個資保護相關規定,對未妥善處理資料的金融機構開罰,最重可達千萬元以上。
民事與刑事責任
受害客戶可依個人資料保護法提起民事訴訟,情節重大者企業主管亦可能面臨刑事追訴。
商譽與信任損失
個資外洩消息一旦曝光,客戶信任急速崩跌,品牌形象的重建代價往往遠高於罰款本身。
二次資安威脅
外洩的個人資料可能流入詐騙集團,成為釣魚攻擊或社交工程的素材,危害持續擴散。
正確的硬碟銷毀,應該怎麼做?
要確保資料「真正消失」,一般企業應採取以下措施,或委由具備資格的專業廠商執行:
使用符合 DoD 5220.22-M 等國際標準的抹除軟體,對每個磁區進行數據抹除,確保資料完全清除。
透過專業碎磁機、壓毀機或消磁設備,從物理層面徹底破壞硬碟,確保資料無法以任何方式還原。
選擇通過 ISO 27001 、 NAID AAA或R2v3 認證的資料銷毀廠商,全程派員監督,並索取含序號的硬碟銷毀證明書,作為日後稽核的合規依據。
將硬碟銷毀納入 IT 資產管理流程,明訂責任歸屬與稽核節點,避免如兆豐銀事件中「委外卻無人監控」的管理漏洞再次發生。
資料安全,終點才是最關鍵的起點
許多企業在資安投入上,將重心放在防火牆、加密傳輸等「資料保護」措施,卻忽略了設備生命週期末端的「資料銷毀」同樣至關重要。銀行業者因中古硬碟流出而遭裁罰的案例,清楚說明了一件事:資料安全的最後一道防線,往往就在那顆即將報廢的硬碟上。
與其冒著違規與個資外洩的風險,不如一開始就交給有資質的專業廠商,以正確流程、完整憑證,為您的資料安全畫下真正負責任的句點。
[資料來源]Yahoo!新聞-中古硬碟銀行個資全都露 金管會追銀行責任
