韓國電商巨頭酷澎(Coupang)2025 年 11 月發生大規模個資外洩事件,受影響的使用者帳號數量高達 3,370 萬個,引發國際譁然。對此,智雲科技總經理徐涍挺示警,若企業長期忽視內部資安的風險,特別是「特權帳號管理(Privileged Account Management, PAM)」成為企業資安最大漏洞,更是台灣企業常常忽略的高風險環節。
酷澎個資外洩是內部特權帳號失守
做為在台灣生活超過 30 年的韓國人,徐涍挺分享,酷澎個資外洩事件並非單純的駭客入侵,而是源自內部特權帳號的管理疏失,雖然韓國自 2012 年實施個人資料保護法(Personal Information Protection Act, PIPA),規定企業必須建立「特權帳號管理」與「資料稽核制度」,並接受隨機檢查,違規企業將面臨高額罰款與公開懲戒。
據韓國調查報導指出,即使韓國政府法規完整,許多企業仍未落實相關機制,關鍵原因在於成本與企業治理選擇。酷澎雖然主要在韓國營運、處理大量韓國民眾個資,但其母公司註冊在美國,因此在跨國法規適用與內部治理出現落差,並由於企業對於特權帳號管理內控防護不足,最終形成結構性漏洞。
徐涍挺指出,特權帳號管理也是許多大型企業常見的盲點,回頭檢視台灣現況,台灣《個人資料保護法》的制度設計與韓國高度相似,但實際執行力明顯不足,現行監管多集中於金融業與特定大型機構,多數中小企業仍以「事後補救」取代「事前防護」,導致個資外洩事件屢見不鮮。
內部高權限帳號成為企業最大風險
酷澎個資外洩事件再次顯示內部風險管理的重要性,智雲科技技術總監翁皓威表示,根據 Gartner、IBM 的報告指出,超過六成資料外洩事件與內部人員或合作廠商有關,包含工程師、系統管理者,或持有高權限帳號的人員,一旦企業缺乏明確的特權帳號使用規範與審核機制,即使並非惡意行為,也可能因疏忽而造成大規模資料外洩。
翁皓威分析,目前許多企業仍將資安重心放在防火牆、端點防護等外圍防禦措施,特權帳號管理往往只有在受到法規強制或產業稽核要求才會導入,部分企業在專案開發或系統維運期間,長期讓人員持有高權限帳號,卻未建立完整的操作紀錄與行為監控,正是酷澎事件中被放大的風險結構,至於不少中小企業仍在觀望,甚至尚未開始評估導入。
翁皓威說明,多數企業仍直覺認為攻擊主要來自外部,而非內部,但其實一旦攻擊是透過內部人員、合作廠商,或已取得內部帳號權限的方式發生,往往更容易繞過外圍防護,造成的影響也更深、更廣,因此凡是能接觸企業敏感資料的身分與行為,都應納入管理與監控,並建議同步強化資料庫活動行為監控(Database Activity Monitoring, DAM),以降低內外部的資訊安全風險。
企業必須補強「特權帳號管理」預防
針對權限回收往往是離職管理中最容易被忽略的一環,徐涍挺指出,許多企業因離職流程與權限回收機制未能明確規範,或受限人力不足,無法即時處理,導致帳號長期處於「無人管理卻仍有效」的狀態,更嚴重的是,當這些帳號遭到盜用或冒用後,若缺乏足夠的稽核與追蹤機制,企業往往難以第一時間定位使用者與操作行為,因為調查成本高、追責困難,最終不了了之。
「預防永遠比事後補救有效」,徐涍挺指出,智雲科技旗下資安解決方案 DBSAFER,正是協助企業從制度面補強特權帳號治理,DBSAFER IM 可集中控管系統與資料庫特權帳號,涵蓋帳號生命週期管理、密碼變更、登入申請與代理登入機制,降低帳號外流與濫用風險;DBSAFER DB 則透過落實最小權限原則,限制特權帳號可存取的資料範圍,並持續監控使用行為,強化事後稽核能力。
翁皓威說明,Enterprise Manager 能完整記錄特權存取行為,並即時偵測異常,FACELOCKER 則能透過持續驗證機制,確保實際操作人員身分,降低旁觀竊取或冒用帳號的風險,不僅是人臉辨識解鎖或二階段驗證的一種手段,更可做為「持續驗證」的核心機制,降低旁觀竊取、錄影冒用等風險,真正落實零信任機制。
資安挑戰轉向內部帳號與權限管理
翁皓威分析,資訊安全從來不是單一技術就能解決的問題,而是要靠制度、流程與內外部防護一起到位,以資料加密為例,其主要功能在於防止外部人士非法讀取資料,卻無法有效防堵本就握有解密權限的內部帳號或金鑰持有人,若金鑰長期由個人保管、缺乏申請與審核機制,再先進的加密技術也難以形成真正防線。
徐涍挺總結,酷澎個資外洩事件清楚顯示企業資安的真正挑戰,已從「如何防堵外部攻擊」,轉向「如何管理被信任的帳號與權限」,而唯有將特權帳號、金鑰與存取行為納入制度化治理,結合 PAM、DAM 與零信任機制,企業才能在符合法規要求的同時,真正降低內部風險,避免類似事件再次發生。
(首圖來源:科技新報)
科技新報粉絲團
加入好友
訂閱免費電子報
