農業部臺中區農業改良場
機密維護常識彙編(9711)
機密維護常識彙編( 97 年 11月份 )
✻ 竄改電腦報稅資料,稅官盜領退稅款遭法辦
壹、案情摘要
某甲係稅務機關書記,負責民眾綜合所得稅處理業務。 96 年 9 月間渠所屬機關,針對綜合所得稅國庫支票未兌領暨未送達清冊進行清查,發現有 5 張未兌領退稅支票所載禁止背書轉讓受款人姓名與原始申報書所載納稅義務人姓名不符,經進一步查核結果,查獲某甲涉嫌自 94 年起利用綜合所得稅服務區職務機會,進入電腦系統竄改民眾綜合所得稅資料,詐領退稅款總計 40 筆,金額達 3,232,167 元。全案經移送司法單位偵辦。
貳、案情研析
一、本案犯罪模式,主要係藉由財政部財稅資料中心,為避免系統程式誤判納稅義務人姓名及便於納稅義務人申請扶養親屬更換之需要,開放綜合所得稅核定檔變更權限予承辦人之作業,並利用系統程式核定檔欄項(除納稅義務人身分證字號外)可任意更改及未設計系統異常通報機制之漏洞,將已核定退稅並由納稅義務人兌領之資料,擅入系統進行第二次納稅義務人姓名、地址、免稅人數及扣繳稅額等項目變更,達成詐領退稅款之目的。
二、本案某甲自 94 年起即利用稅務資訊管理系統部分核定欄項可任意更改及未設計系統異常通報機制之漏洞,擅入系統修改納稅義務人所得資料,雖然稅務機關設有複核及勾稽制度,且由機關主動發覺移送法辦,惟自 94 年起擔任綜合所得稅核定業務至 96 年稽核發現弊端止,違法作業長達 2 年,究其問題癥結仍在於系統防弊功能設計、開放綜合所得稅核定檔權限、防弊措施及業務考核等未臻完善所致,顯見機關資訊系統與防弊機制仍待全面檢視評估,並適當修正強化之必要。
參、策進作為
鑑 於部分掌管大批民眾資料之機關 ( 例如掌理戶籍資料之戶政機關、掌理車籍資料之監理機關等 ) 亦可能發生類似弊端,另少數單位主管人員因不諳電腦操作,而私下將系統權限授予機要或基層人員處理,極易衍生不法情事,謹針對前揭資訊保密與使用安全維護事項,提供相關策進作為如下:
一、加強系統操作稽核作業:由主管依規定比率抽核系統操作,並組成小組不定期實施稽核,以機動性不預警方式,杜絕承辦人僥倖心理。
二、強化資訊系統偵錯功能:例如本案可建置系統更改核定檔納稅義務人姓名與內政部戶政系統連線偵錯功能,透過資料管理系統相互自動勾稽,減少人為疏失與錯誤。
三、落實內部分工作業:例如本案可針對審查更正作業與保管退稅支票業務,採分工方式辦理,避免由同一人員承辦,防範承辦人員犯罪意圖。
四、建立系統資料使用紀錄分析:例如本案可定期產出核定檔案異動退稅紀錄,由專人統計分析系統操作、退稅金額等異常資料,主動發掘弊端。
五、辦理系統操作人員平時考核:藉由前述各項安全操作機制,瞭解承辦人員作業能力與工作精神,確實辦理平時考核作業,淘汰或職期輪調方式,維護作業系統正常運作。
六、辦理業務講習訓練:針對主管、新進及在職人員,依據不同對象施以不同講習訓練,務從單位主管至基層人員,均能熟稔系統操作;另主管亦須瞭解各項防弊機制及承辦人員操作現況,以機先發覺可能錯誤,確保系統安全。
七、定期實施系統安全操作評估:機關各項業務資訊管理系統,應由專人定期就系統操作進行安全性評估,特別是防弊措施執行現況亦應一併列入評估範圍,適時提出修正意見,以維護公務資料安全,防範弊端發生。
肆、結語 公務員依法處理民眾個人資料檔案,理應做好各項安全維護措施,並防範個人資料遭竊取、毀損、滅失或洩漏等情事,更不得為一己之私,竄改民眾個人資料盜領退稅款,非但使政府形象受損,亦影響個人前程。本案公務員利慾薰心違反規定,終因事跡敗露而遭移送法辦,足堪各界引以為鑑。
(資料來源法務部政風司)
✻十萬中文網站遭入侵 包含知名全球性公益組織在內
趨勢科技呼籲:駭客利用新聞事件使壞不斷上演 謹防個人資料外洩
網路安全專家趨勢科技昨晚發現新一波針對華文網站的惡意程式攻擊,而此波攻擊中不乏知名的全球性慈善團體,趨勢科技呼籲網友在上網蒐尋最新消息或慈善捐款訊息時請千萬小心,以免個人資料遭不法人士竊取利用。
趨勢科技網頁掃瞄雷達發現直至今日已有十萬個中文網頁遭植入惡意連結,此次遭攻擊的網頁是採用多種駭客工具自動掃瞄尚未修補 MS06-14 漏洞的電腦,而加以入侵,不過大部分的受駭網頁還是以「資料隱碼」 (SQL injection) 的方式,由企業的網站漏洞入侵資料庫。
而這些被攻擊的網頁多以非營利機構為主,當網友瀏覽這些網頁時將被植入惡意程式,有可能成為傀儡網路操縱的殭屍電腦或導致個人機密遭竊。這些受駭的中文網頁以台灣、中國、香港和新加坡為主,其中中國大陸的網頁高達九成。受駭的網站中,不乏知名的全球性慈善團體,令人不難聯想此次攻擊與駭客假藉四川震災等最熱門新聞來達到大量散播之可能性,所幸今日該慈善網站位於台灣與大陸的網站皆已修復,不過趨勢科技提醒用戶,入口網站中的相關網站庫存頁面仍 有風險,網友上網時請小心不要點選。 ✻員警勾結保險員洩漏個資 5 萬元交保
高縣仁武分局車禍處理小組員警洪瑞裕涉嫌洩漏車禍當事人個資,給承攬代辦保險業務黃姓友人,洪員偵訊時承認口頭告知個資給黃某,但無對價關係,高縣警局督察室仍以洩密罪嫌函送,檢方偵訊後,下令洪員 5 萬元交保。
據了解,「長暉顧問社」負責人黃坤霖等人,專門承攬代辦車禍理賠和申辦勞、農、漁保,及汽、 機車 強制理賠等業務,並於前年間透過他人,認識高雄縣警察局仁武分局警員洪瑞裕。
由於洪員平日負責處理轄區車禍案件,乃與黃坤霖約定於每週三下午,在仁武鄉高速公路交流道旁一處加油站碰面,由洪員親手「交付」雙方當事人個人資料,以便對方前往承攬生意抽取佣金,並接受黃嫌等宴客。
直到洪姓員警去年承辦一件機車車禍案件,但當事人還在住院時,突然有保險人員到院招攬業務,當事人從未購買保險,懷疑洪員洩密,逕自向高縣警局督察室檢舉。
員警強調 無對價關係
督察室經過半年調查,將全案呈報高雄地檢署檢察官王啟明偵辦,檢方並於本月 4 日前往仁武分局搜索,帶回洪員經手的車禍案件及工作紀錄簿。日前傳喚洪員、黃坤霖到案說明,洪員承認以口頭方式告知車禍當事人個資,但絕無手抄本或對價關係。
保險代辦黃坤霖在警訊時表示,由洪員交付當事人資料,但他強調並沒有金錢往來。
檢察官偵訊後諭令洪員 5 萬元交保,黃某則釋回。
至於洩密為洪員個人行為或小組集體操作,高縣警局督察長王欽源表示全案為督察室主動偵辦,且純屬洪員個人行為。
仁武分局車禍處理小組組長羅龍山說,洪員平常工作認真,也熱心提供民眾法律見解,不知為何會涉入該案。(自由時報報導)
✻洩密行為的態樣分析
壹、前言:
自從政府解嚴後,資訊開放的腳步日趨快捷,民眾取得資訊的管道賁寬廣通暢,例如,「解除報禁」、「開放設置區域性電台」等措施。一般民眾對於「知」的權利認知高漲,需求殷切;各類新聞媒體更是不遺力地「開發新聞」。誠然,增長了個人的見聞:遺憾的是,「保密警覺」逐漸地被人輕忽。殊不知!「蒐密者」可能正透過「」廣名單(販售公司)」、大樓的電信分線箱線路,蒐取或竊聽個人秘密;抑或利用偷窺、趁隙翻閱等小動作,竊得機密資料。
貳、辦公室機密業務作業保密
不良辦公習慣;輕忽保密的觀念,是造成辦公室機密外拽的主因。其常見缺失及預防方法,臚述於后:
一、影印分發重要機密文件時,應分別編號;依編號不同,分別在各件適當位置處註記,以明確持有人保密責任。影印中,適值影印機夾紙故障,應即時取出,避免遭人截取洩密。
二、傳真重要文件前,傳送方式應先以電話通知收件人,否則,在接收方傳真機末設定輸出密碼情況下,傳送完成的文件,恐發生遭人截收之慮。傳送資料完成後,雙方應以電話核對傳送張數是否相符;遇有不清晰處,應要求再傳送一次,不宜逕以電話宣讀填註,以免洩密。
三、廢棄機密文件不應逕棄於垃圾桶內;或雖做銷燬處理,但是,碎紙機銷燬能力不足,僅能三釐米左右紙條;此時,若遭有心人士蒐集並予整理重組,機宓文件旋即曝光。
四、重要密資料(如標單、底價單)作時,遇有離座要,應即妥收密件入櫃,俾防遭人抄錄或翻閱,造成洩密。
五、機密文件在傳遞郵寄過程,常見缺失情形及預防作為:使用雙封郵寄時,外封套上不宜書明函內封存密件內容,避免弔人覬覦;內、外封套書寫受文地址、受文單佔及受文對象,應注意是否相符,防止傳遞過程遺失。內封套上應明確書寫收文對象或密件名稱(或代號、文號),俾利收文人員正確轉交有權拆閱人員,避免困擾;封口應加蓋戳並予封實,以防止遭人拆封或竊讀機密。
參、結語
公務員因洩密罪遭起訴後,情節重大者,如涉及違背職務收賄、利用職權利他人等瀆職行為,須適用以「貪污治罪條例」從重論處,並得追究其民事及行政責任,殊為不值!「保密」不僅是一種美德、義務;有時,更是決定個人生命財產安全,以至於國家安全關鍵。爾來洩密案件頻傳,如「軍購洩密件」,有多名軍官被判處無期徒行,殷鑑不遠,耑藉此文重述「保密」重要。
✻調查: 7 成 3 電腦遭植入灰色及犯罪程式
一項針對 20 個國家的電腦所進行監測結果顯示,遭不懷好意灰色程式和犯罪程式感染的電腦,比例高達 72.5% !其中,遭植入廣告程式( Adware )電腦比例達 38.6% ,突顯透過植入廣告程式來獲利的手法,已成 駭客 圖利重要管道。
趨勢科技透過線上掃毒軟體,針對包括台灣、 澳洲 、中國、美國等 20 個國家,共 29 萬 1084 台電 腦進行掃瞄,發現全球遭灰色程式和犯罪程式感染的電腦,已高達 72.5% !
報告並指出,遭駭客工具( Hacking Tools )入侵的電腦達 15.8% ,顯示傳統病毒攻擊模式已成過去,潛藏其中進行資料竊取,或藉以散發垃圾郵件,為駭客攻擊首要目的。
業者表示,上網時就算瀏覽正常網頁,都可能暗藏惡意程式,使用者很容易在不知不覺中外洩隱私,此類攻擊手法,已成上網最大安全隱憂。 為防範網路犯罪行為,並避免遭不斷彈跳出的廣告程式干擾,趨勢科技建議使用者定期更新作業系統修正程式、勿開啟不明來歷的連結或檔案;而瀏覽網站時,可使用立即對網頁連結進行安全過濾的資安產品把關。(中央社記者何宏儒台北報導)