November 2022
从台湾法令遵循观点谈对于勒索软体之因应
2022.11
孙煜辉、杨宜蓁
国际间有关政府、企业组织之端点系统设备或数据库遭骇客入侵事件频传,除了金融业为明显之攻击目标,制造业、餐饮业、网路零售业等行业由于持有大量之客户个人资料,亦容易成为被锁定攻击之对象,资讯安全与风险管控已为当今企业必须面对之棘手课题。
此外,勒索软体亦朝向规模化、集团化发展,入侵手法日新月异。近年常见手法系骇客入侵企业内部网路或服务器,透过植入恶意程式,将企业重要数据予以加密,并要挟受害企业若不支付赎金,即公布公司之机密资料,近年亦常以要求支付虚拟货币(例如比特币)至特定钱包之方式以躲避追查。
是否应支付赎金之两难议题
实务上屡传有企业选择以支付赎金方式寻求解围,惟若勒索软体要求以虚拟货币支付赎金,由于不易追查其金钱流向,此时支付赎金将产生是否可能成为骇客集团「洗钱」帮助犯之问题。
若企业单纯基于被害人身分支付赎金,由于洗钱防制法定义下之洗钱需系「掩饰或隐匿特定犯罪所得来源」[1],若无改变交易外观等行为,应尚无构成洗钱防制法之帮助犯风险。惟因支付赎金未必能阻止加密的档案被解密或防免数据被外泄之风险,且该金流将助长骇客组织后续之犯罪,变相增加勒索软体攻击企业之诱因,企业决策仍应审慎。
另亦须留意,依资恐防制法第7条之规定,任何人对于被法务部公告指定制裁名单[2]之个人、法人或团体不得为「对其金融账户、通货或其他支付工具,为提款、汇款、转账、付款、交付或转让。」之行为。
企业之事后通知与通报义务
依个人资料保护法(下称「个资法」)第12条,非公务机关如有违反个资法规定,致个人资料被窃取、泄漏、窜改或其他侵害者,应查明后以适当方式通知当事人。另同法第27条并授权各主管机关得指定非公务机关订定个人资料档案安全维护计划或业务终止后个人资料处理方法。
是以,当企业发生个人资料遭骇入加密等「被窃取」之事故时,即有义务通知个资受影响之当事人,甚至需于一定时限内通报目的事业主管机关,依各行业要求制定之个人资料档案安全维护计划,尚可能需要「采取适当应变措施,控制并降低事故对当事人之损害」与「检讨缺失并研拟预防机制」[3]。此外,如属于主管机关指定之「关键基础设施提供者」,则依资通安全管理法规定尚须另行订定通报及应变机制。
小结
资安侵入及勒索已属企业难以完全回避之风险,实务上,企业遭骇时可能遭遇来自客户面的质疑,甚至求偿,却往往不容易举证其「系统无缺失」或「已实行适当之安全措施」。
最适因应之道,仍是尽可能于事前落实安全管理及法令遵循,充分执行资安政策,可考虑比照ISO相关资安系统认证,以尽可能预防并使损害最小化,并应将采取安全措施与检查等相关记录留存,以追溯执行成效。
[1] 洗钱防制法第2条:本法所称洗钱,指下列行为:
一、意图掩饰或隐匿特定犯罪所得来源,或使他人逃避刑事追诉,而移转或变更特定犯罪所得。
二、掩饰或隐匿特定犯罪所得之本质、来源、去向、所在、所有权、处分权或其他权益者。
三、收受、持有或使用他人之特定犯罪所得。
[2] 法务部公告指定制裁名单参:https://www.aml-cft.moj.gov.tw/624184/624196/624197/
[3] 请参本所介绍文章「台湾网络零售业及平台发生个资重大事故应于72小时内通报主管机关」、「内政部指定营建类等九类非公务机关订定个资安全维护办法─明订重大事故72小时通报义务与加强资安措施」。
孙煜辉、杨宜蓁
国际间有关政府、企业组织之端点系统设备或数据库遭骇客入侵事件频传,除了金融业为明显之攻击目标,制造业、餐饮业、网路零售业等行业由于持有大量之客户个人资料,亦容易成为被锁定攻击之对象,资讯安全与风险管控已为当今企业必须面对之棘手课题。
此外,勒索软体亦朝向规模化、集团化发展,入侵手法日新月异。近年常见手法系骇客入侵企业内部网路或服务器,透过植入恶意程式,将企业重要数据予以加密,并要挟受害企业若不支付赎金,即公布公司之机密资料,近年亦常以要求支付虚拟货币(例如比特币)至特定钱包之方式以躲避追查。
是否应支付赎金之两难议题
实务上屡传有企业选择以支付赎金方式寻求解围,惟若勒索软体要求以虚拟货币支付赎金,由于不易追查其金钱流向,此时支付赎金将产生是否可能成为骇客集团「洗钱」帮助犯之问题。
若企业单纯基于被害人身分支付赎金,由于洗钱防制法定义下之洗钱需系「掩饰或隐匿特定犯罪所得来源」[1],若无改变交易外观等行为,应尚无构成洗钱防制法之帮助犯风险。惟因支付赎金未必能阻止加密的档案被解密或防免数据被外泄之风险,且该金流将助长骇客组织后续之犯罪,变相增加勒索软体攻击企业之诱因,企业决策仍应审慎。
另亦须留意,依资恐防制法第7条之规定,任何人对于被法务部公告指定制裁名单[2]之个人、法人或团体不得为「对其金融账户、通货或其他支付工具,为提款、汇款、转账、付款、交付或转让。」之行为。
企业之事后通知与通报义务
依个人资料保护法(下称「个资法」)第12条,非公务机关如有违反个资法规定,致个人资料被窃取、泄漏、窜改或其他侵害者,应查明后以适当方式通知当事人。另同法第27条并授权各主管机关得指定非公务机关订定个人资料档案安全维护计划或业务终止后个人资料处理方法。
是以,当企业发生个人资料遭骇入加密等「被窃取」之事故时,即有义务通知个资受影响之当事人,甚至需于一定时限内通报目的事业主管机关,依各行业要求制定之个人资料档案安全维护计划,尚可能需要「采取适当应变措施,控制并降低事故对当事人之损害」与「检讨缺失并研拟预防机制」[3]。此外,如属于主管机关指定之「关键基础设施提供者」,则依资通安全管理法规定尚须另行订定通报及应变机制。
小结
资安侵入及勒索已属企业难以完全回避之风险,实务上,企业遭骇时可能遭遇来自客户面的质疑,甚至求偿,却往往不容易举证其「系统无缺失」或「已实行适当之安全措施」。
最适因应之道,仍是尽可能于事前落实安全管理及法令遵循,充分执行资安政策,可考虑比照ISO相关资安系统认证,以尽可能预防并使损害最小化,并应将采取安全措施与检查等相关记录留存,以追溯执行成效。
[1] 洗钱防制法第2条:本法所称洗钱,指下列行为:
一、意图掩饰或隐匿特定犯罪所得来源,或使他人逃避刑事追诉,而移转或变更特定犯罪所得。
二、掩饰或隐匿特定犯罪所得之本质、来源、去向、所在、所有权、处分权或其他权益者。
三、收受、持有或使用他人之特定犯罪所得。
[2] 法务部公告指定制裁名单参:https://www.aml-cft.moj.gov.tw/624184/624196/624197/
[3] 请参本所介绍文章「台湾网络零售业及平台发生个资重大事故应于72小时内通报主管机关」、「内政部指定营建类等九类非公务机关订定个资安全维护办法─明订重大事故72小时通报义务与加强资安措施」。
