台灣人手四張信用卡,平均每人約有一.七張保單,全台數萬名業務員有很多機會擁有大眾姓名、地址、身分證字號,甚至卡號、家眷姓名等私密的個人資料,每位業務員都如同企業的移動資料庫,在企業網路安全的護城河外遊蕩。
「我不知道有人要這些資料幹嘛,不過若有心人要拿,確實不難,」國泰人壽許姓資深業務員私下透露,駭客若有意入侵業務員的個人電腦,絕非難事,「保險業,防同業比防駭客還重要。」
惡性競爭某大公司遺失資料
二○○六年底,因同業惡性競爭,國內某大壽險公司的客戶資料庫疑遭內勤人員內神通外鬼,洩漏可直達客戶資料庫的帳號、密碼,不僅數千筆客戶個人資料疑遭外洩,競爭對手取得密碼鑰匙後,還可仔細閱讀數千位客戶的個人資料、已購買的保險產品內容及金額,反而搶先一步推出這些客戶缺乏的新產品,讓資料遭洩的壽險公司高層傻眼。
保險業務員透露,因內鬥偷竊密碼、客戶資料的缺失,在保險業界早非新鮮事,寶貴的客戶資料不僅成保險業內鬥下的交換物,走出企業層層的網路安全護城河,業務員筆記型電腦公、私兩用,一旦業務員輕忽下,也將成為駭客可口的獵物,甚至被入侵都神不知鬼不覺。
至於全台各種業務員手中到底握有多少個人資料?根據統計,一名從菜鳥做起的業務員,十餘年下來可握有近三千個保戶資料,平均只要五年經歷,手中客戶就可達八百位。
保險、信用卡業務員可第一手接觸客戶的個人資料,最常見的不外乎姓名、聯絡電話、地址、職業、性別、生日、電子郵件及身分證字號,以卡辦卡的信用卡業務員可再取得一組信用卡卡號,保險業務員的要保書中,還可得知眷屬、保額等進一步資訊。
「客戶資料存在一個叫做CRM客戶管理系統的遠端資料庫,無法存取,每次上網連線也需帳號密碼。」壽險業務解釋查看客戶資料的程序。而且資料庫每家壽險公司自製的格式都不同,需特別軟體才能讀取,每次打開電腦就需登入公司帳號、密碼,連在哪上網、上哪些網站等,公司都一目了然,很難做虧心事。
不過,保險業務員面對上百位客戶,高度仰賴客戶管理系統,例如客戶生日、保單將到期等都會自動發出警訊,繁忙的步調讓許多業務員在密碼設定上鬆手,「密碼三個月一定要換一次,且不能重複三次以上,但怕忘記,我們都嘛四組密碼用一輩子。」許姓業務員表示。
避免遺忘密碼,不少業務員以小孩生日、電話等懶人密碼代勞,仍以不遭同事、同業猜中為最高原則,鮮少有人擔心遭駭客光臨。
客製化服務易生管理漏洞
國內某大壽險公司去年發生嚴重內控缺失、洩漏千筆客戶資料前,員工透露,業務員可用客戶的身分證字號查詢客戶在該集團的資料。若客戶允許交叉行銷,包括壽險、信用卡、房貸等部份資訊都看得到。意外發生後,才修改內部流程,業務員只能看到自己經手的客戶內容,個資保護始獲得改善。
不過許多業務員喜愛替客戶客製化個人檔案,內含詳細個人資訊,隨時可列印提供客戶參考。但貼心的服務下,多數業務員為求方便,自製的客戶資料夾赤裸裸存放在硬碟中,沒有加密,形成業務員離開企業安全護城河後,難以控管的一大漏洞。
「所以我的手提電腦從不離開視線,」某外商壽險公司資深業務員解釋,認為電腦不離身,可確保電腦裡的資料得到保護。
只是業務員用同一台電腦在家上網,若運氣不佳,上不當網站遭木馬入侵,在咖啡店上網時無線網路遭擷取,駭客都有可能竊取帳號與密碼,靜悄悄走後門取得上述的個人資料。
網路安全怎麼跟業務員有關?內政部刑事警察局偵九隊隊長王志超表示,網路犯罪不一定是上網買東西才會受害,不一定要直接去銀行擷取密碼,保險、信用卡業務員手中握有龐大的個人資料,各種求職網站也一樣,都是駭客直接撬開使用者個資大門的管道。
「這些業務員人手一台筆記型電腦在外移動,可是大家都忽略他們替客戶個資把關的重要性。」王志超表示。
不過國內某大保險業務員則表示,取得個人資料的管道太多,就算駭客可入侵筆電、取得帳號密碼及客戶資料,也不認為這些個資有令駭客垂涎的價值,「現在各種會員卡這麼多,我們可取得的資料,別處要取得也不難。」
「國泰金控握有逾一千二百萬名的客戶資料,幾乎占全台人口的一半,如果這些資料這麼有價值,派工程師到國泰金控電腦中心,工作兩年複製所有資料,難道就能複製另一個國泰金?」業務員不解表示。
個資就像拼圖碎片,買保險、辦信用卡、填寫會員資料、上網登錄時,各洩漏一些,散亂的個資看似不起眼,但一旦遭有心人士拼湊,完整的個資圖像不但為犯罪集團最愛,一份包含人名、聯絡電話、地址、生日名單,甚至可以一元代價取得。
「這些資料怎會不重要?你的身家背景,駭客就是這樣一點一滴拼湊出來,」刑事警察局科技犯罪防制中心主任李相臣說點出個資不受第一線業務員重視的無奈。
保險業務員解釋:「現在的客戶很精明,防備心很重,你跟他要個人相關資料,不可能隨便給。」例如壽險公司備有制式化的需求分析表,欄目從個人、配偶、家庭成員資料到家庭財務狀況,如不動產、股票、負債、年收入等十分詳細,但為了不嚇跑客戶,不到一成的業務員會拿給客戶填寫,就算填寫,客戶也不需要詳實以告。
「保險業務員不是銀行貸款員,我們只要確定收得到保費,管你寫的配偶、不動產、醫療資訊正不正確?」保險業務員說。
民眾僅透露必要資料求自保
內含重要個人資料的移動資料庫處處可見,信用卡業務員也是龐大的一群,以四大發卡行為例,即便歷經卡債、剪卡風暴,平均每月每位信用卡業務員經手的客戶可達上百位,不論新辦卡、以卡辦卡、舊客戶申請服務,每張申請書仍透露客戶姓名、身分證字號、甚至卡號。
申辦信用卡、房貸等不像買保險,客戶得想辦法提供各種財力證明,向銀行爭取更高額度。服務更好的信用卡,經手業務人員甚至有機會過目更隱密的個人金融資訊。
除第一線辦卡的行員外,銀行龐大體系中,包括信用卡核卡中心可看到新核發的信用卡卡號,客服中心的資料更豐富,才能即時服務客戶,也都是個資需受保護的禁地。
只要取得直達保險、信用卡資料庫的相關帳號、密碼,駭客可化身為客服人員、核卡員工、經手業務員,將個人資料背景慢慢拼湊起來。
不過聯邦銀行信用卡中心協理陳明智表示,就像保全公司防範員工不偷竊一樣,防不勝防,但民眾辦卡其實有法自保,包括業務員需戴銀行識別證,填寫完信用卡申請單需開發收據,包括接受申請的時間、承辦人及申請內容,日後若有任何問題,有憑據可追蹤。
「個資拿到後,二度利用、詐欺的趨勢才剛開始,」王志超表示,當個資被拿走,大概八成有財務損失,未來竊取個資的手段將更多。另一自保手段,建議民眾一定要定期更換密碼、更新軟體,「否則別人會幫你做」。
一台筆記型電腦、一台PDA手機,透過有形、無形的網路線,客戶資料就可走出企業護城河,隨時在各地移動,也暴露在各種遭駭危險區,信任你的業務員,否則勾選拒絕交叉行銷、僅透露必要個資、在身分證影本上加上一些註記等,絕對是網路時代中自我保護的不二法則。
態度若輕忽,駭客有機可趁
業務員走出企業安全的護城河,透過個人電腦、PDA,形成駭客直接入侵的捷徑,取得業務員使用的帳號、密碼,便可直達含有個人資料的客戶資料庫。
陳明智
聯邦銀行信用卡中心協理
企業防範
客戶個資外洩
作法
1
四大關卡確保信用卡業務員不擅自盜取客戶資料,包括雇用前的審查,有前科、循環過度、信用不良、曾逾期繳款等不錄用,業務員需簽不當保證人、不滯留客戶資料的切結書。此外,明定外出辦卡的資料需當天繳回,不得抄襲、複印,主管也需擔起監督、抽查的責任,一同外出主管也可隨時抽檢業務員的公事包。
發送卡號的核卡中心依不同權限,只給員工看工作必要的客戶資料,且辦事員的電腦沒有硬碟,無法儲存,列印受管制。客服部員工雖可查看客戶所有資料,由監聽、當場巡視、現場錄影等方式內控,確保資料只能用來服務客戶,無法被員工複製利用。
馬金德
國泰人壽資訊服務中心系統支援處經理
企業防範
客戶個資外洩
作法
2
業務員只能在系統上查詢他自己經手成交的客戶紀錄,且查詢客戶資料時,系統會啟用防止擷取機制,將文字即時轉換成圖形,避免被擷取。客戶資料庫的防火牆則採用不同品牌防火牆,防制外部入侵。主機與客戶資料傳遞除了有帳號、密碼認證,也使用防火牆限制來源端及目的端的IP,控管資料傳遞。此外,伺服器定期進行弱點掃瞄修正,委外做滲透測試,確保網路、伺服器安全。
內部網路限制USB隨身碟、燒錄機等,並限制業務員不得上高風險網站。為避免帳號、密碼遭盜用,除需定期更換、誤植三次鎖定外,還針對帳號使用情形分析,如短時間若由不同IP地點登錄,就會分析追蹤。
