資安倫理

-法務部調查局 調查官 陳彥后

前言

去年資安人力吃緊，今年沒有改善。

資安事件回應、情資分析佔最多缺額

企業資安預算逐年提高

這是最好的時代，也是最壞的時代

• 認清工作現實
  • 資安的工作，絕大多數絕非學生時期的 CTF 及各式競賽
  • 更多的是產品的開發及服務的提供
  • 平凡到超絕 人力 -> 人才 -> 人物

基本法律觀念

前科

• 個人資料保護法施行細則第 4 條第 6 項
• 警察刑事紀錄證明核發條例第 6 條但書另規定
• 無法申請良民證
• 無法出入境某些國家
• 從事公職及特定部分工作

刑事流程

妨害電腦使用罪

• 刑法第 358 條至第 363 條
  • 358 - 無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞，而入侵他人之電腦
  • 359 - 無故取得、刪除或變更他人之電腦資料
  • 360 - 無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備，致生損害於公眾或他人者，處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。
  • 361 - 對於公務機關之電腦或其相關設備犯前三條之罪者，加重其刑至二分之一
  • 362 - 製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。
    • 製作 malware
  • 363 - 第 358 條至第 360 條須告訴乃論。
    • 361, 362 非告訴乃論

實際案例

• 自架 DDoS 提供網站，以政府單位為目標，錄製攻擊過程並放在 YT 上招攬生意
• 拿女友帳號改感情狀況
• 打進校務系統改全校成績
• 與公司人員相處不睦離職，將公司配發於公務使用電腦，私人檔案及公司相關檔案刪除

個人資料保護法

• 個資

  • 可直接或間接方式識別該個人的資料
    • 特種個資：基因、醫療、性生活、健康檢查、犯罪記錄

• 非政府機關對個資資料的收集、處理

• 特別規範(19 ~ 21)

  • 蒐集、處理、利用

• 刑事：2 年或 20 萬

• 民事： 500~2 萬每人，最高 2 億

• 個資使用務必小心，稍有不慎可能因此觸法

  • 房仲神器 - 小白機

著作權法

• 保護著作，原創性及相關權利

• 著作權

  • 完成作品符合原創性即受保護
  • 無需申請
  • 著作人格權
  • 著作財產權

• 智慧財產權

• 專利

  • 需申請、審查及公開
  • 發明 20 年
  • 新型 12 年
  • 新式樣 12 年

• 時效

  • 著作人格權：一生專屬，不得讓與、繼承
  • 著作財產權：死亡後 50 年

• 非本國人著作

  • 首次發行原則
  • 互惠原則

• 電腦程式著作

  • 無雇主契約，著作人格權歸作者，著作財產權歸雇主
  • 有雇主契約，依契約規定
  • 備份時可合法複製

License

營業秘密

資安管理法

• 母法，有六個子法
• 不同級有不同的回報及處理時間

結論

• 希望大家不要觸法