竊取機密何必大費周章　收購二手網拍硬碟才是捷徑

當前公私單位普遍缺乏對無用或報廢硬碟的適當處理程序，駭客只要上網拍收購二手硬碟，就可從中挖掘機密資料。

以往駭客想要竊取硬碟中的資料，多半得透過各種入侵管道，將惡意程式常駐於系統中，才能伺機竊取；如今，駭客不必如此大費周張，只要上網拍收購二手硬碟，就可從中挖掘不少令人驚喜的機密資料。根據英國電信(British Telecom)、Sims Lifecycle Services資產管理與還原方案供應商，以及美、英、澳3所大學的共同研究發現，在所採購的二手硬碟中，有高達34%的硬碟仍被發現殘存機密資料。

隨著硬碟價格不斷下探，自然成為備份大容量檔案最划算的選擇。對個人使用者來說，每隔一段時間添加更大容量硬碟，或同時擁有好幾顆硬碟，已非難以負擔支出；對企業而言，擁有單位成本優勢的硬碟，也成為端點電腦、伺服器，以及類儲存系統上最普遍採用的儲存媒體。

面對不斷累積資料的備份問題，以及系統升級或舊機汰換等常見狀況，企業或個人除了會添購速度更快、容量更大的硬碟，也必須面對老舊硬碟的處理問題。一般最常見的處理方式，是直接報廢丟棄，或上網拍賣，但是，使用者在報廢及網拍舊硬碟之前，如果沒有進行良好的「處理」作業，並確定硬碟之中再無任何殘存機密資料，那麼，重要的商業機密或個人資訊，恐將因此外洩。

報廢及二手硬碟資料外洩事件頻仍　
全球最大武器商仍重蹈覆轍

其實，針對老舊硬碟處理並完整刪除其中資料的呼籲，已是老生常談的議題，然而由多年來從未間斷的資料外洩事件可以發現，企業或個人對此議題忽略的程度不減反增。由英國電信、Sims Lifecycle Services公司、美國長木大學(Longwood University)、英國葛雷摩根大學(Glamorgan University)及澳洲伊迪斯科文大學(Edith Cowan University)聯合進行二手硬碟資料安全的研究中，即再次凸顯人們對無用硬碟資料安全問題的忽略程度。

在這次安全研究中，上述各研究單位分別自英、美、德、法、澳等國的交易網站購得300顆二手硬碟，結果約有34%的二手硬碟中，仍發現許多可完整存取的機密資訊。這些機密資訊來源及類型十分廣泛，從個人、政府機構、醫院，甚至軍方都有，舉凡銀行帳號細節、病患醫療紀錄、商業機密藍圖、財務及會計公司資料、個人憑證等，洋洋灑灑的各類型敏感性資訊無所不包，光是與醫療有關的病患就診紀錄、PACS X光影像，以及醫院員工個人E-mail等機密資訊，就分別在英、澳購買的3顆硬碟中發現；另外，位於法國的德國大使館內部網安設備的日誌檔也包含在內。

其中，最令人感到驚訝的，莫過於來自美國eBay拍賣網站上購得的二手硬碟，竟包含美國測試戰區高空區域防衛系統(Terminal High Altitude Area Defense；THAAD)地對空飛彈的相關試射流程資訊，以及該軍事防衛系統研發公司－洛克希德．馬丁內部的安全制度、工廠設計藍圖，與員工個人的社會保險號碼等資訊。如此關乎國防安全的第1級機密資訊，竟可透過網拍取得，確實令人感到不可思議。對身為全球最大軍事工業複合體的集團來說，難道沒有嚴密而謹慎的安全防護措施與處理流程，竟任由重大軍事機密草率地外流而出？事實上，這也凸顯出當前公私單位普遍缺乏對無用或報廢硬碟的適當處理程序。

建立舊硬碟安全管制標準作業流程　
已成企業務必遵行的當務之急

無論個人或企業，都必須小心各種可能導致資料外洩的管道及風險，除了來自網路上的惡意攻擊、有心人士將電腦內的硬碟拆解，筆電或外接式硬碟遺失、電腦送修、硬碟報廢、二手拍賣等，也都必須列入風險控管必須加強注意的重要環節。

上述各種資料外洩可能管道，大致上都早有因應之道，其中，最成熟的莫過於針對各種惡意程式或駭客入侵的相關防護方案，例如建置防毒軟體、防火牆、入侵偵測或UTM等方案；針對筆電或外接式硬碟，則可透過加密方案加以保護；面對電腦送修等可能問題，則有賴事先的安全防護措施，例如重要資料另行備份到其他硬碟或儲存媒體中，或先將硬碟拆下後再送修等。至於硬碟報廢或二手拍賣，企業不但缺乏應有的安全處理作業流程，甚至從未認真思考這方面的安全疑慮，這也是何以全球最大軍事科技公司會犯下如此不可思議錯誤的主要原因。

面對任何即將報廢不用或預備上網拍賣的硬碟，企業必須建立1套嚴格執行的硬碟完整格式化或資料徹底刪除標準作業流程，如此才能杜絕資料外洩的各種可能疑慮。另外要提醒的是，透過單純的刪除或快速格式化動作，並無法完全將檔案刪除殆盡，唯有透過完整或低階格式，或是專門的檔案碎紙機等工具程式，才能完全刪除乾淨。

經歷駭客入侵與惡意程式攻擊的多年洗禮，當前企業都非常擅於對外安全防護作業，但對於企業內部安全風險，卻一直處於相對薄弱且陌生的狀況；換句話說，多數企業都有防備外部主動攻擊的相關設施，且大部分員工都具備一定程度的對外安全意識及常識，但是對於即將報廢或準備上網拍賣的硬碟資料安全問題，實有再教育的必要，總而言之，建立1套嚴密的舊硬碟管制與報廢硬碟資料刪除標準作業流程，絕對是必須嚴格執行的當務之急。