為何個(gè)人資料外泄事件像極了不可解的X檔案？讓我們一起從2009年第一條震驚產(chǎn)業(yè)界的資料外泄事件談起：戰(zhàn)國策外泄4,270筆客戶訂單數(shù)據(jù)。

    戰(zhàn)國策外泄客戶訂單等數(shù)據(jù)一事發(fā)生至今，僅戰(zhàn)國策的客戶、其他主機(jī)代管業(yè)者以及信息安全專家先后針對該事件表示看法，如戰(zhàn)國策客戶不滿戰(zhàn)國策無主動告知該事件，以及信息安全業(yè)者呼吁戰(zhàn)國策客戶以更換密碼等方式避免惡意份子竄改其數(shù)據(jù)等；反觀戰(zhàn)國策，其除要求Google移除相關(guān)數(shù)據(jù)，以及對外表示正在追查促發(fā)該事件發(fā)生的原因外，無其他解釋。

    戰(zhàn)國策對該起資料外泄事件的做法是─不大積極的亡羊補(bǔ)牢。發(fā)現(xiàn)資料外泄?fàn)顩r后，戰(zhàn)國策除趕緊請Google移除相關(guān)信息（先補(bǔ)墻防止發(fā)生更多問題）外，對于那些可能恐已被狼群（黑客等惡意份子）刁走的亡羊、或者是還在柵欄內(nèi)的羊群（問題一），可能因?yàn)閿?shù)量過多且無法稽核等，戰(zhàn)國策是以不變應(yīng)萬變，如未在第一時(shí)間告知客戶發(fā)生該起事件等，至于其計(jì)劃如何補(bǔ)強(qiáng)柵欄（問題二）等，只能說，戰(zhàn)國策真的是保密到家，完全不對外透漏任何風(fēng)聲（問題三）。

    問題一：未告知導(dǎo)致客戶無法自防。

    由于戰(zhàn)國策未通知，客戶對于公司名稱、聯(lián)絡(luò)人姓名、身分證字號、電話、地址、電子郵件、交易方式、金額、主機(jī)方案，以及代管主機(jī)的IP地址、賬號、密碼、域名等信息都赤裸裸的暴露在因特網(wǎng)上可能渾然無所覺，更不用說有任何因應(yīng)之道。

    問題二：無后續(xù)因應(yīng)之道恐導(dǎo)致業(yè)務(wù)銷售成績下滑。

    截至今日，戰(zhàn)國策仍未對外表明后續(xù)因應(yīng)之道，如其將如何強(qiáng)化信息安全防護(hù)機(jī)制等，這除影響戰(zhàn)國策在（虛擬）主機(jī)租賃服務(wù)市場的名聲外，亦可能導(dǎo)致既有與潛在客戶對戰(zhàn)國策的信任感逐漸下降，以及思考是否該使用戰(zhàn)國策的主機(jī)租賃服務(wù)。

    問題三：委外服務(wù)市場恐因此受影響。

    根據(jù)IDC與MIC等市調(diào)單位的報(bào)告，2009年，基于降低信息營運(yùn)成本等考慮，委外、租賃或代管等服務(wù)極可能成為市場寵兒，但上述市場狀況極可能在虛擬主機(jī)租賃服務(wù)業(yè)者─戰(zhàn)國策爆發(fā)個(gè)人資料外泄事件而趨緩?？梢韵胍?，委外、租賃或代管業(yè)者會積極于向企業(yè)客戶證明其的信息安全防護(hù)機(jī)制有多嚴(yán)謹(jǐn)，但，業(yè)者所提供的信息安全防護(hù)機(jī)制是否真為企業(yè)所需？又該由誰來稽核所言不假？

    不只戰(zhàn)國策，甚少有人清楚表示其是如何處理個(gè)人資料外泄事件?；仡?/SPAN>2008年發(fā)生過的資料外泄事件─金石堂與誠品書局等書局傳出會員個(gè)人資料外泄、6月國中基測31萬考生資料遭竊、7月職訓(xùn)e網(wǎng)9萬筆個(gè)人資料外泄等…現(xiàn)在，讓我們一起來回想一下：有幾個(gè)單位曾在事發(fā)后主動對外表示其計(jì)劃如何「解決」上述問題，而非對外澄清該事件沒想象中嚴(yán)重？

    不公開絕對不是最佳信息安全防護(hù)方式。猶記，筆者在2年前因服務(wù)器虛擬化技術(shù)專題至戰(zhàn)國策采訪時(shí)，戰(zhàn)國策技術(shù)部主任胡邦元即曾直接對筆者說：基于安全考慮，無法提供詳細(xì)（或簡易）的戰(zhàn)國策內(nèi)部信息系統(tǒng)架構(gòu)示意圖，在那個(gè)時(shí)間點(diǎn)，筆者認(rèn)為他說的很對。

    現(xiàn)在，我依舊覺得他的堅(jiān)持沒錯(cuò)，但只堅(jiān)持不公開信息系統(tǒng)架構(gòu)等可能有點(diǎn)不夠，以這次的資料外泄事件來看，根據(jù)媒體報(bào)導(dǎo)，導(dǎo)致這起客戶資料外泄事件的原因可能是戰(zhàn)國策員工使用的瀏覽器安裝了類似Google Toolbar的工具軟件…我們或許可以這樣說：為避免企業(yè)形象與業(yè)務(wù)營運(yùn)績效會受到資料外泄等事件的影響，企業(yè)除得循序部署合宜的信息安全防護(hù)系統(tǒng)架構(gòu)外，還得確定相關(guān)人員（內(nèi)部員工與外部合作伙伴）對信息安全防范有一定程度的了解；畢竟，無論信息安全系統(tǒng)如何健全、自動化，仍需“人員”操作相關(guān)系統(tǒng)。

    除了部署健全的信息安全防御系統(tǒng)架構(gòu)、適時(shí)的信息安全觀念倡導(dǎo)外，當(dāng)企業(yè)是否能以主動積極的態(tài)度與行動面對突發(fā)的信息安全事件：對外（客戶）解說因應(yīng)之道，以及對內(nèi)（系統(tǒng)與人員）進(jìn)行稽核與改善，亦極重要…當(dāng)然，要做到上述動作，一開始一定會有不小的挑戰(zhàn)（尤其在亞洲這種嚴(yán)守家丑不可外揚(yáng)的地區(qū)），但上述這種從作中學(xué)的做法確實(shí)有助于企業(yè)精進(jìn)信息安全防御機(jī)制，至少，企業(yè)新進(jìn)信息人員可透過詳盡的信息安全報(bào)告了解企業(yè)曾遭遇過哪些信息安全問題。