近年臺灣資安事件層出不窮，造成國民個資外泄、電子商務及金融業(yè)營運損失、企業(yè)面臨駭客攻擊，更對國土安全形成威脅。為加強臺灣中小企業(yè)防范資安攻擊事件，經(jīng)濟部工業(yè)局委托工業(yè)技術研究院執(zhí)行「資通訊安全產業(yè)推動計劃」，針對臺灣資安事件與需求進行調查，并歸納出十大國內資安事件，分析常見資安事件與案例，呼吁企業(yè)與個人提升危安意識，并提供資安解決方案，協(xié)助企業(yè)強化資安防護解決方案，將風險與成本降到最低。

　　隨著科技的演變及企業(yè)營運模式的改變，資安防護的復雜度也日益增加，導致企業(yè)必須投入更多資源在建置資通訊安全，以確保公司機密資料不外泄并維持企業(yè)商譽。因此，資安逐漸被列為企業(yè)營運重要規(guī)劃的一環(huán)。然而根據(jù)資安通訊安全產業(yè)推動計劃研究發(fā)現(xiàn)，2013年臺灣企業(yè)基于資安預算有限，會考量集中投資在優(yōu)先度評估較高的部份資安方案，但也形成缺少全面性資安防護的窘境，使公司暴露于潛在風險之中，不只使資安事件發(fā)生的頻率日益上升，損失金額更是倍增。根據(jù)美國網(wǎng)絡犯罪申訴中心（ Internet Crime Complaint Center，IC3）公布「2013年網(wǎng)絡詐騙活動報告」，IC3 所收到的網(wǎng)絡詐騙申訴案件自2005年起的23.1萬筆成長到2013年的26.2萬筆，損失金額更從1.8 億美元成長到7.8億美元。

　　資通訊安全產業(yè)推動計劃主持人黃維中指出：「中小企業(yè)應重視投資資安解決方案，臺灣有許多優(yōu)秀的業(yè)者提供符合成本效益的資安服務，協(xié)助中小企業(yè)針對惡意攻擊進行事前預防、事中因應與事后處理。企業(yè)應將資安與企業(yè)獲利并列為重要營運目標，將資安視為保護公司重要資產的必備工具，才是有效降低風險與避免付出更高代價的最佳方法�！�

　　經(jīng)濟部工業(yè)局資通訊安全產業(yè)推動計劃列出十大常見資安事件與案例，做為中小企業(yè)借鑒，期望中小企業(yè)能以更積極謹慎的態(tài)度面對資安威脅。此外，經(jīng)濟部工業(yè)局資通訊安全產業(yè)推動計劃為了協(xié)助中小企業(yè)縮短資安規(guī)劃時程，也推薦臺灣優(yōu)良資安解決方案廠商，與資安廠商資料，期望能使中小企業(yè)強化資安體質，提高商業(yè)競爭力。

　　1. 資料外泄--經(jīng)由內部或外部不適當或未經(jīng)授權之方式，存取、使用或修改資料，并且會直接或間接地對持有該資料的組織、企業(yè)或個人，造成有形與無形負面影響之事件。

　　案例：2013年2月，臺灣Nokia的5個委外行銷網(wǎng)站遭駭，17萬筆個資被公開，150萬筆存有風險。

　　2. 進階持續(xù)性威脅（Advanced Persistent Threat，APT）攻擊事件--駭客以組織性移動并出于經(jīng)濟利益或競爭優(yōu)勢，以超過目標防護能力并具有復雜和多樣性的手法，針對單一企業(yè)或機關進行客制化且持續(xù)性的攻擊。

　　案例：國際駭客組織以微軟RTF程式漏洞，針對臺灣企業(yè)及政府單位發(fā)送夾帶后門的熱門議題（如服貿）電子郵件，以竊取目標機密資料。

　　3. 分散式阻斷服務（Distributed Denial-of-Service Attacks，DDoS）攻擊--駭客借由分散的攻擊方式，聯(lián)合網(wǎng)絡上能發(fā)動阻斷服務（DoS）的復數(shù)主機同時發(fā)動攻擊，占用或耗光目標對象主機或系統(tǒng)的資源或服務，讓系統(tǒng)的可用性降低，導致一般使用者無法正常使用系統(tǒng)或主機所提供的服務。

　　案例：2013年5月，臺菲漁船槍擊事件引發(fā)臺菲鍵盤戰(zhàn)爭，臺灣遭菲律賓駭客以DDoS攻擊后反擊，臺灣在此事件中包含總統(tǒng)府、外交部、國防部、海巡署等網(wǎng)站皆遭到DDoS攻擊，也有部份臺灣民營網(wǎng)站癱瘓。

　　4. 資料庫遭駭--企業(yè)或組織存放營運所需資料的資料庫，遭內部或外部不適當或未經(jīng)授權之方式存取、使用或修改，造成被駭對象有形與無形負面影響。

　　案例：2013年5月19日，臺灣Groupon網(wǎng)站資料庫遭攻擊，臺灣會員數(shù)約380萬，其中估計有一成會員的電子信箱帳號及密碼可能被盜。

　　5. 社交工程郵件詐騙--利用民眾疏于防范的心理，讓受害者掉入陷阱。該技巧通常以交談、欺騙、假冒或口語用字等方式，從合法用戶中套取用戶系統(tǒng)的秘密。

　　案例：2013年5月，駭客假冒健保局名義，以二代健保為誘餌，寄發(fā)社交工程郵件給中小企業(yè)。刑事局于5月27日宣布偵破，以妨害電腦使用罪將嫌犯移送法辦。

　　6. 手機或即時通訊信息詐騙--針對智慧型手機或平板等智慧型移動裝置植入病毒、木馬等惡意程式；或通過傳送詐騙訊息以存取、復制、刪除移動裝置中的個人資料、帳號密碼；或取得系統(tǒng)權限寄送用戶不知情的付費簡報或撥打高額付費電話；或通過傳送位置、開啟裝置鏡頭攝錄、降低裝置執(zhí)行效能，或直接竊取目標裝置等，甚至用戶本身遺失裝置，也都屬于此事件的手法。此類事件多造成用戶資料外泄、財務損失、裝置癱瘓或遺失遭竊等。

　　案例：2014年4月，因為露天拍賣網(wǎng)設立帳號認證機制，并提供0809認證電話，卻反而被歹徒用來結合LINE詐騙，把不知情的民眾當成網(wǎng)拍賣家人頭，被害人等到警方找上門，或者被買家"追殺"，才發(fā)現(xiàn)自己不小心成了詐騙集團共犯。

　　7. 惡意程式威脅--所謂惡意程式威脅事件，泛指有心人士刻意撰寫具備惡意企圖的程碼，包含電腦病毒、蠕蟲、木馬、間諜軟件、廣告軟件等種類，造成的影響如破壞系統(tǒng)正常運作、耗盡電腦資料、修改或破壞系統(tǒng)設定、復制或刪除檔案、讓系統(tǒng)當機、竄改程式資料、監(jiān)控電腦活動等隱私侵害、散布廣告等。

　　案例：2012年4月，出現(xiàn)針對Mac電腦的Flashback木馬程式變種，經(jīng)由Mac OS X系統(tǒng)的Java漏洞感染，主要目的為竊取個人資料，全球有60萬臺Mac電腦感染。

　　8. 網(wǎng)站（頁）遭駭--網(wǎng)站被植入惡意程式、或被癱瘓無法正常運作、或原本頁面被置換成其他頁面、或網(wǎng)站被藏入導向至特定頁面。

　　案例：2013年7月，蘋果電腦（Apple）之擁有600萬會員數(shù)的開發(fā)者網(wǎng)站遭到入侵，導致部分會員的個資可能外泄。

　　9. 身分帳密遭盜用--惡意人士通過如惡意程式、社交工程、網(wǎng)站系統(tǒng)漏洞等方式，取得目標對象之帳號密碼的事件。

　　案例：2013年10月，軟件業(yè)者奧多比（Adobe）在部落格中坦承公司系統(tǒng)遭駭客攻擊，駭客除了取得部分用戶資訊，包含使用者帳戶密碼、姓名、信用卡號碼等重要資訊，也取得Acrobat、ColdFusion等部分Adobe產品的原始碼，個資可能外泄的用戶達290萬。

　　10. USB威脅事件--通過藏有惡意程式之USB隨身碟感染目標企業(yè)、組織或人員的電腦或裝置，進一步入侵目標對象之系統(tǒng)并竊取機密資料、癱瘓系統(tǒng)。

　　案例：某位員工利用傳輸線將手機連上PC的USB port充電，導致原先潛伏在手機里的惡意程式（DroidCleaner），將惡意檔案傳送到公司的PC設備上。