你有在用 Coupang 酷澎購物嗎?
知名跨國電商龍頭 Coupang(酷澎)先前因內部管理疏失,導致大規模個資外洩,不僅面臨個人資料保護委員會的深入調查,最高可能被罰 1.5 兆韓元,換算台幣約 350 億元。當時連台灣也有超過 20 萬名用戶受到波及。
這場風暴給所有企業主一個長期的警訊:跨國大公司有資本能承受跨國訴訟與巨額罰款;但中小企業只要遇到一次,可能得直接面臨關門。
一、這次事件到底哪裡出了問題?
從這起嚴重的個資外洩案來看,核心問題主要出在內部管理:
1. 離職員工權限未回收
調查指出,事件起因於前員工非法取得並儲存了核心系統的存取權限。許多企業在員工離職時,常漏掉清查系統後台帳號,讓「過期權限」成了最方便的內鬼通道。
2. 缺乏異常行為的即時攔阻
更嚴重的問題是,當系統在非正常時間被集中的、大量地讀取並導出敏感個資時,內部系統並未在第一時間觸發自動阻斷。任由異常行為持續,才讓災情徹底失控。
二、個資法修法後的現實痛點
很多老闆覺得:「駭客都盯大公司,我們這種小生意不用擔心。」
但台灣個資法修法之後,對個資外洩的罰款和調查力度已經大幅提升。一旦發生外洩,企業不只要面對主管機關的裁罰,還要應付消費者的集體求償。
而且最傷的是商譽的損失。對電商、零售或診所這類高度依賴客戶名單的行業,只要名單在暗網流竄、消費者接到詐騙電話,客戶轉單的速度往往會讓公司猝不及防。
三、中小企業要怎麼防?
要防範這種「內部越權」或「異常資料搬移」,靠傳統的防毒軟體是完全不夠的。建議從兩大方向著手:
行為監控與即時自動阻斷
系統要能夠即時偵測內部帳號的異常行為——例如在半夜大量下載資料、或一次性存取了平常不會碰的資料夾。一旦偵測到這類行為,系統應該在幾毫秒內自動發出警報,並強制中斷該帳號的連線,不給對方任何搬走資料的時間。
落實「最小權限」原則
中小企業因為人手不足,常圖方便把最「高管理權限」開給每個員工,這是非常危險的習慣!
正確的做法是:每個員工、每個外部協力廠商,只能存取他們工作上真正需要的資料,其他的一律鎖死。這樣就算帳號被盜或有內鬼,能造成的損害也會被大幅限縮。
資安不是多花錢,是讓公司活下去的保險
Coupang 的案例說明了一件事:資安防禦如果只做表面,一旦內部管理出了問題,代價往往是企業無法承受的痛。
別等到收到主管機關的公文、或是公司的商譽上了新聞才開始補救。現在就為公司的內網與個資環境進行全方位的資安健檢。
若您對資安解決方案、企業採購、設備租賃、團購方案與後續服務細節有任何疑問,歡迎隨時聯絡我們!
我們擁有專業顧問團隊,能依照您企業的產業性質、部門用途與預算範圍,量身打造最適合的解決方案,讓您買得安心、用得放心。
