搜索
資通安全法律案例宣導彙編編者序社會高度資訊化下,資訊網路科技的應用正在改變我們商業、工業乃至於生活的模式。根據經濟部委託資策會進行的「我國網際網路用戶數調查統計」,截至2001年12月底為止,我國網際網路使用人口已高達782萬人,網路儼然成為人們密不可分的夥伴。悠遊於網際網資通安全法律案例宣導彙編路,人們可以瀏覽國際、政治、財經、科技、學術等各類資訊,滿足知識與實用上的需求。但除聯絡溝通的功用外,目前網際網路更已成為國家許多基礎建設的載具。從水電的供輸、稅賦的報繳、到交通運輸的帷幄等,皆已不復全賴人工處理,轉而藉由網路快速、便捷的特性,發揮更好的管理效能。然而,科技技資通安全法律案例宣導彙編術不斷發展、引領資訊通信普及的同時,網路亦對社會帶來負面的衝擊,如電腦病毒的散布、駭客入侵的威脅、與其他利用電腦來侵害他人財產法益之犯罪行為等。一般大眾乃至軍公教從業人員,常因法律知識不夠完整而誤觸法網。此等情況一旦發生,不獨耗損你我辛勤積累的社會成本,更可能傷害了我們於國際社會中努力經營之地位形資通安全法律案例宣導彙編象。更有甚者,隨著政府各部會的全面電子化,未來的國防安全,全繫之於我國對「資訊戰」應變的良窳。若敵人趁資通安全的罅隙,癱瘓我國水電、通信、交通等重大基礎建設的運作,對國家社會的危害,將難以估計。是以,如何在虛擬與實體環境間找到良好的介面,藉以養成國民正確的資通安全觀念,實屬當務之急。資通安全法律案例宣導彙編目前,行政院國家資訊通訊發展推動小組(NICI小組)為配合六年國家經濟建設計畫,加速推動我國資通安全產業發展,實現e-Taiwan願景,正推動「國家資訊通信基礎建設方案」,以e政府、e產業、e社會及e建設四大架構為主軸,期能開創我國擁抱寬頻時代的新契機。與此同時,也積極規劃「建立我國資通訊基礎資通安全法律案例宣導彙編建設安全機制計畫」,責成政府各單位於建立完善的資通安全防護機制,從而為我國資訊通信安全提供最佳保障。而資通安全法制基礎建設,即為本計畫不可或缺之一環。計畫除預定逐次檢討及增修資通訊安全相關法令外,更重視資通安全人力培訓及觀念宣導、增強執法人員專業能力,以達有效遏止網路犯罪,同時促進網路多元發展之雙資通安全法律案例宣導彙編效目標。除上述政策作為外,我們更體認到,建立國民正確資通安全技術與法律觀念,才是維護國家資通安全的基石。因此,行政院「國家資通安全會報」在今年「萬安演習」中,特地將資通安全納入演習項目。希望藉此考驗政府部門平時防護的成果與應變能力,並訓練民眾因應資訊戰的應變能力。配合此次萬安演資通安全法律案例宣導彙編習,國家資通安全會報技術服務中心出版本彙編,藉由淺顯易懂的文字敘述、深入淺出的案例介紹,相信將能輕鬆建立國民正確的資通安全法制觀念。行政院國家資通安全會報技術服務中心謹誌資通安全法律案例宣導彙編前言一、天然災害的威脅____________________________________1二、電腦病毒的威脅____________________________________41.對政府及學校的威脅________________52.對企業及個人的威脅_______________12三、電腦駭客的威脅___________________________________131.對政府機關的威脅_________________142.對學校機關的威脅_________________173.對企業及個人的威脅_______________21四、電腦犯罪資通安全法律案例宣導彙編的威脅___________________________________261.侵害智慧財產權___________________272.危害社會秩序_____________________293.妨礙交易秩序_____________________33資通安全法律案例宣導彙編前言為積極落實網路安全教育的推廣,協助各界從身邊發生過的案例中汲取經驗,本手冊因此彙整相關新聞案例,根據資通安全事件發生的成因進行分類與分析,期望建立網路使用者正確的資通安全風險意識。網路環境的威脅來源,主要有四種:來自天然災害(如水、火)的威脅、具資通安全法律案例宣導彙編有自動散布性電腦病毒的威脅、電腦駭客入侵的威脅、與利用電腦進行犯罪的威脅。本手冊的第一章即介紹「天然災害的威脅」。藉由事例的描述,希望建立讀者平時即應建立「妥善選擇資料存放地點」與「資料備分」的風險概念。第二章則是「電腦病毒的威脅」。各類病毒的蔓延,所造成的危害,常常是資通安全法律案例宣導彙編難以評估的;從延宕一般使用者的工作效率,到造成企業商譽損失、阻斷政府公務正常運作,病毒的肆虐是「一視同仁」、不分彼此的。因此,完善的通資訊安全防護機制是建立在全民對網路安全的風險意識之上。第三章為「電腦駭客的威脅」。駭客的入侵事件,除了更改網頁等表面上常見的毀損資通安全法律案例宣導彙編行為外,入侵行為常是駭客進行其他犯罪前的預備行為,如為竊取他人財務資料的目的而移植木馬程式。由於這類程式在未實際運作前難以被察覺,因此造成通資訊安全防護的隱憂甚鉅。讀者不可不知。第四章「電腦犯罪的威脅」,則羅列目前社會上常發生的電腦犯罪類型,如侵害智慧財產權、危害社資通安全法律案例宣導彙編會秩序案件、與妨礙交易秩序等案例。對電腦犯罪事件造成的危害作一完整性的介紹。資通安全法律案例宣導彙編1一、天然災害的威脅台灣地理型態特殊,地震颱風頻仍,兼之以人謀不臧所造成的損害,動輒釀成極大的災情。人為傷害或可藉由改善組織管理、事先妥善預防、建立綿密監控等方式,戕傷害程度降至最低;天然災害因多屬地域性、大規模性地侵襲,除組織本體的本身的努力外,更需要政府以上層級的規劃預防及救助。正因為天然災害對企業及任何組織資通安全性的威脅,不在其它侵害類型(如電腦病毒等)之下,對此類案例的回顧與檢討,誠有其必要。並希望藉此加強大眾對防災及安檢的觀念,以期建立更為妥適的臨災處理模式。資通安全法律案例宣導彙編2日期:2001/05/14事件:東科大火事件描述:汐止東方科學園區大火,延燒三、四十個小時,二百多家廠商受波及。台灣最大的網路代管服務(IDC)公司在無預警狀況下暫停一百三十家客戶的網站服務。法律意見:此種大規模的祝融之災,動輒造成數百家廠商軟、硬體付之一炬,其對於資通安全的威脅並不亞於其他類型。硬體部分尚有保險理賠,但軟體資料一經毀損,若無事先備份,企業因此而損失的商譽及信用往往更甚於硬體的損害。根據美國明尼蘇達大學的一份研究報告指出,企業在沒有資料可用的情況下,金融業至多只能運作兩天,商業則約3.3天。有25%的企業,更可能因資料的損毀而立即破產。正因天災嚴重時可造成無可補救的經濟上損害,思考如何維護政府或企業重要資料的安全、在平時即建立危機意識,實屬刻不容緩。東科事件中,釀成火災之人,則觸犯刑法第173-176條之公共危險罪,最高可處七年有期徒刑。資通安全法律案例宣導彙編3網路代管公司雖無預警暫停一百多家客戶的網站服務,卻已表示願意賠償。但協助代管客戶投保產險實為治本之道。在同年九月間納莉風災重創北台灣,造成北台灣多處大淹水,因大量主機皆遭泡水命運,使資訊系統更受到前所未有的傷害。接踵而來的慘痛經驗,更應使我們心生怵惕,了解建立完整事前防範(存放資料地點選擇、資料備份等)的重要性。資通安全法律案例宣導彙編4二、電腦病毒的威脅電腦病毒的威脅由來已久,但隨著網路技術的發展,電腦病毒的傳播媒介由最初的磁碟片,轉而變為藉由網際網路,甚至新興的無線通訊技術,使其蔓延的速度及範圍無數倍於以往。根據統計,截至2001年9月,我國網際網路用戶數已達755萬人,連線主機數約達134萬部,名列全球第8、亞洲第2。面對如此龐大的網路流量及使用人數,若在相關軟硬體及資訊教育上未能齊頭並進,將會使電腦病毒的危害及影響更加迅速及深遠。台灣有優異的資訊工業及資訊工程教育,也培養出大量的軟體人才。如何建立相關法制措施及充分觀念宣導,使有天份的程式設計者不致因懵懂無知而誤蹈法網,成為散播電腦病毒的災害製造者,實為我們未來必須仔細規劃的要項。資通安全法律案例宣導彙編51.對政府及學校的威脅日期:2001/07/23事件:思坎病毒蔓延事件描述:思坎病毒蔓延,藉由電子郵件進行散播,一旦電腦遭病毒感染後,病毒會尋找通訊錄中的名單,自動發送病毒郵件。該電腦病毒侵襲許多公家機關網站,使網管人員飽受電子郵件病毒侵害之苦。法律意見:根據一項由美國聯邦調查局(FBI)和電腦安全協會(CSI)於2002年4月7日所發表的研究指出,電腦病毒是駭客入侵最常用的手法。而根據500名研究受訪者所提供的資料,其因電腦病毒或蠕蟲入侵所損失金額約4,990萬美元。由上開研究報告可知,電腦病毒早已不復只是駭客炫耀電腦功力的手法而已,每一隻病毒的發作,其背後可能表彰的是社會上經濟秩序的鉅大損害。若遭感染的對象為政府機關網路,更會造成公務的延宕及資通安全法律案例宣導彙編6公帛的無謂損失。縱然因政府的全面e化,公務員業務上大量使用網路係勢所難免,但你我應在平時即建立好充份的資訊安全意識,並對電腦病毒的感染途徑有一定認識及預防,以期減低電腦病毒對機關內電腦的衝擊。一般而言,電腦病毒最主要的散播途徑,是透過開啟或執行電子郵件的附加檔案(尤其是附檔名為EXE、COM、SCR的檔案)而感染收件者的電腦。但有些最新變種病毒,如「求職信病毒」,使用者只要「預覽」病毒信件,不需執行任何附加檔案,就已經受病毒感染。一些良好使用習慣的養成(諸如不任意開啟來源不明郵件、開啟附檔前一定先掃毒、定期更新病毒碼、outlook使用者關閉郵件預覽功能等),甚至架設個人或機關內的防火牆,皆有助於扼止電腦病毒的不法肆虐。根據86年10月8日增訂刑法第352條第2項之立法理由,若有「干擾他人電磁紀錄之處理,足以影響電腦正常之運作,例如:以『電腦病毒』方式,即利用程式透過電腦連線系統內進行複製,佔據記憶容量,干擾電腦之正常運作功能」,且「如其情形足以生損害於公眾或他人時,宜以刑罰加以規範」。依刑法第352條條文:「毀棄、損壞他人文書或致令不堪用,足以生損害於公眾或他人者,處3年以下資通安全法律案例宣導彙編7有期徒刑、拘役或1萬元以下罰金。干擾他人電磁紀錄之處理,足以生損害於公眾或他人者,亦同」。病毒的故意散播者,實已觸犯了刑法第352條第2項干擾他人電磁紀錄處理之罪。資通安全法律案例宣導彙編8日期:2001/08/06事件:新聞病毒橫掃某市府事件描述:以「新聞資料」、「公文會辦單」名義散發的電腦病毒,肆虐某市府各機關,許多局科室的電腦都中毒,一開機就傳入數百封的英文信件,塞爆主機造成癱瘓,各單位因而進行緊急掃毒。法律意見:行為人透過網路以電腦病毒造成他人電腦硬碟損毀、致令不堪使用,即構成刑法第354條之普通毀損罪。此外,就上述事實來看,電腦病毒的發作不但干擾了高雄市府各機關公務上電腦資料的處理,更因公務的延宕導致廣大市民的損害。相關判決:90年度上易字1265號。資通安全法律案例宣導彙編9日期:2001/08/11事件:紅色警戒病毒肆虐事件描述:縣府教育局與國高中小學間聯絡的資訊網絡「縣教育網」,遭到紅色警戒病毒入侵,主機中毒,網路癱瘓,受害學校無數。法律意見:紅色警戒(CodeRed)病毒屬於一種結合電腦病毒與駭客程式的攻擊手法。其令人蹙額處,在於它能夠以一程式整合病毒、駭客、DDoS等數種攻擊手法,使電腦一經感染,即導致多重損害。根據防毒軟體業者趨勢科技的分析,在國外紅色警戒爆發之初,微軟即就其網路伺服器的作業程式緊急發布防範的修正檔,但僅有少數企業立刻將之更新於伺服器上,致使災情仍不斷擴大。因此可觀察到,企業光使用高階路由器、設置防火牆其實只是治標,對網站管理員資訊安全防護觀念的再強化(如例行性的更新病毒檔、系統定期修正等習慣的建立),才能做到防範於未然。此外,若有電腦駭客利用植入紅色警戒病毒,在資通安全法律案例宣導彙編10網路上實施DDoS的行為,今後可要特別注意了。據指出,法務部草擬中的「刑法部分條文修