電腦資安小幫手

多年前認識一家叫紅景天的飲料店，以合夥加盟的方式降低加盟門檻，初期經營的有聲有色，後來轉投資失利，轉去搞詐欺、吸金5億多，負責人被判18年...
（一家店平均300萬，一股投資金額5到6萬元，並加收10％到20％不等的加盟金，投資人每月可獲分店的10％到15％營業額作為紅利等報酬）
當初叫負責人搞吸金的，則是個龐氏騙局的老手，也是騙了幾十億，現在得關幾十年。

龐氏騙局是一種金融詐騙手法，其基本運作方式是利用後來投資者的資金來支付早期投資者的高額回報，而不是來自任何真實的利潤或投資收益。這樣的模式需要不斷吸引新的投資者來保持資金流入，一旦新資金無法繼續進入或資金需求超過流入，就會導致整個騙局崩潰。

臺灣最有名的則屬「鴻源」案，1980年代以投資高利率借貸吸金近千億元，全台逾16萬人受害...

現在想要在網路上賺錢，除了整天呼籲你買課程、告訴你股市必賺法則之外，就屬於叫你養東西，當個家庭養殖戶。這種家庭養殖與臺灣早年的家庭代工一樣，很容易就演變成詐欺案...演變過程則與養殖公司的意願無關。有興趣可以搜尋一下「養殖吸金」，新聞還真不少。

以養殖為名的投資計劃最終演變成龐氏騙局，原因在於這類模式內在的結構性問題和資金運作方式，讓它們很容易走向不可持續的路徑。至於創辦人的初衷意願反倒是不重要了。 這類計畫容易出包的原因有以下幾點：

1. 高額的回報承諾

這類投資計劃通常會向民眾承諾穩定且高額的回報，吸引他們投入資金。其中、養殖技術、天氣、疾病等多重因素都是影響。即便不考慮養殖技術，市場需求仍是決定投資生死的關鍵。高門檻的容易養死、低門檻的容易爆量，什麼叫爆量呢？看看近期的蛋價就知道。專業養殖的利潤波動都極大了，業餘養殖的利潤波動較大。高額的穩定回報通常無法通過實際養殖活動來實現，這使得公司需要依賴新資金來支付舊投資者。

2. 資金池模式

推動這類計劃的公司往往資金量不足（錢夠怎麼會分你賺），也就是無法撐過市場高低價的波段。資金不夠分好幾個籃子的話，往往會將投資者的資金集中在一個「資金池」內，一旦利潤低了，公司便只能用新投資者的錢支付舊投資者的回報，當新資金的流入速度減緩或停止，整個計劃就會無法繼續運作，最終崩潰。

3. 養殖物價值難以評估

從蝦子、螃蟹到高級的鰻魚、龍蝦，只要是養殖業，單價和市場需求必然不穩定。即便是臺灣人最熟悉的高麗菜，盛產與颱風過後，價差都能到5倍以上。而在家養殖就更直觀，養得人多了，供給大於需求，市價就低了。
一旦市場崩盤了，這類公司到頭來只有兩個選擇，違約不收購 或 依約收購然後倒閉。當然也有第三個選擇～找新的人投資來支付舊的投資者。

4. 營運/市場不透明

這個是投資人的大忌，華倫·巴菲特 都不會去碰自己不熟悉的領域，一般的投資人更難瞭解公司的財務紀錄透明度、真實的養殖產業與市場運作...等。一旦投資人無法得知資金的實際使用情況或養殖的真實狀況，當公司開始遇到現金流問題或市場不景氣時，就會出現資金斷裂的風險，也就極度容易變成龐氏騙局。

總之，以養殖為名的投資模式需要十二萬分的謹慎，一旦公司承諾了固定的高額回報，就意味著公司無法彈性的調度資金，也就意味著它需要不斷吸納更多投資者來填補資金缺口。如果擴張過快或養殖業務無法快速成長，資金需求會變得越來越大，最終難以為繼，就很容易走向龐氏騙局的結局。

簡單的說，好久沒使用的露天賣場，登入之後忽然跳了個訊息出來

表示什麼『賣場尚未簽署露天【誠信保障】』，叫人掃QRCODE之類的...

其實呢、這是個在大陸玩爛的詐騙手法，不過臺灣還沒很流行，所以可能會有人上當。

點進去之後會跳出蝦皮00的網址，露天跳蝦皮，真的是惡意滿滿...

之後應該就會按照SOP，有大陸人口音的客服告訴你帳戶出問題，要你到提款機操作...

今天沒心情跟詐騙集團玩，罵他一頓，竟然被封鎖了  

補充、不到幾個小時，露天就發現問題，發出公告了

這次反應算快，值得嘉獎 

隨著賽門鐵克(Symantec)的最新變化，許多客戶可能會開始對市面上相關安全產品的未來與技術能力感覺到惶恐。

賽門鐵克被Broadcom部分收購後，由於多種原因（包括減少對小型企業和過時產品的支援），部分客戶已開始尋找其他資訊安全廠商。整併後的新策略為瞄準全球2000大企業，以及修改企業授權的模式。因此、賽門鐵克放棄了一大批客戶，實質上是讓商業業務退出市場。

賽門鐵克的企業安全平台（現為Broadcom的一個部門）包括知名的端點安全服務、雲端安全、Web安全和資料遺失防護（DLP）。 一般來說，收購會破壞公司的適應能力和創新能力； 在這種特殊情況下，這不僅會導致產品數量減少，而且也會導致支持減少。而Broadcom最近在企業/商用軟體的表現令人擔憂，因此，當前的Symantec客戶需要好好的為未來考量。

隨著賽門鐵克(Symantec)的最新變化，許多客戶可能會開始對市面上相關安全產品的未來與技術能力感覺到惶恐。

賽門鐵克被Broadcom部分收購後，由於多種原因（包括減少對小型企業和過時產品的支援），部分客戶已開始尋找其他資訊安全廠商。整併後的新策略為瞄準全球2000大企業，以及修改企業授權的模式。因此、賽門鐵克放棄了一大批客戶，實質上是讓商業業務退出市場。

賽門鐵克的企業安全平台（現為Broadcom的一個部門）包括知名的端點安全服務、雲端安全、Web安全和資料遺失防護（DLP）。 一般來說，收購會破壞公司的適應能力和創新能力； 在這種特殊情況下，這不僅會導致產品數量減少，而且也會導致支持減少。而Broadcom最近在企業/商用軟體的表現令人擔憂，因此，當前的Symantec客戶需要好好的為未來考量。

目前看來，台灣有越來越多的公司允許員工在家/遠端工作以保護大家的健康，並支持政府採取措施來遏制COVID-19病毒的傳播。而遠端工作對公司機密的保護和資料保護法規的風險正浮出水面。

員工在家工作意味著大量的敏感性資料將離開公司。使用虛擬私人網路（VPN）可以減少不安全的WiFi網路的風險，並確保仍遠端應用公司網路安全性原則。但是，資料仍然會從其他儲存的電腦/筆電...等使用者端點流出、遭竊和或遺失...
預防各種情境的資料外洩，正是Endpoint Protector DLP 解決方案發揮作用的地方。通過在端點上套用政策，無論電腦是連接到公司網路還是公司網路外部，它們都可以保護敏感性資料，並確保對法規（例如歐盟通用資料保護法規（GDPR））的合規性工作不間斷地進行。

讓我們看一下使用 Endpoint Protector 在遠端工作期間進行資料遺失預防的一些關鍵功能：

易於部署和使用

許多主管與工程師總是存在一種誤解，公司導入DLP解決方案需要數個月的時間，以及艱困的設定與實施。
因此，許多沒有導入DLP的公司，在採用遠端工作計畫時並未考量DLP方案。

幸運的是導入EPP簡單又快速。

如何兼顧便利與資訊安全的使用USB隨身碟，一直是公司的一大困擾。
自2008年惡意軟體感染了USB隨身碟造成了美國軍事電腦歷史上最嚴重的破壞以來，越來越多公司意識到USB裝置帶來的危險，但在資料防護的策略上卻很少有效的處理。

資料防護（DLP）獨漏USB的原因很單純：

• USB隨身碟往往會脫離公司網路的安全範圍，而安全策略在公司內部效果最大。
• USB隨身碟很小，因此容易遺失、忘記放哪裡和被偷。
• 員工可能會將來源可疑的隨身碟等USB裝置接在公司電腦上。
• 員工出差時，任何人都可能會在粗心的時候插入受感染的USB裝置。

由於使用隨身碟的風險高，許多公司索性完全禁止使用USB。但禁用USB裝置又引發了另一個問題，無論是大容量的檔案傳輸，會議所需的文件複製，又或是將文件傳輸至他處列印，都會遇上許多麻煩...
那麼，公司如何繼續使用USB，但要確保免受USB帶來的風險呢？ 底下讓我們分析看看～

Endpoint Protector如何幫助您滿足法規的要求

A.    法規稽核要點
Endpoint Protector 的DLP模組涵蓋了稽核的重要部分，包含Device Control 設備控管模組，Content Aware Protection內容過濾防護模組。Device Control 設備控管模組能夠管制USB和其他外接設備，Content Aware Protection則能夠過濾透過軟體途徑傳輸的資料。
在導入GDPR政策的初始階段，公司組織應該以監視資料流動為主，並不急於防堵。透過Endpoint Protector DLP模組搭配公司規劃的政策，您可以更便捷的追蹤對外傳輸的資訊。同時、藉由報告，您還能瞭解傳遞的機敏資料中，哪些資訊需要多加關注。例如身份證字號、信用卡號碼…等個資或商業機密訊息。
此外、能在報告中載明資料傳輸途徑，以便準確的檢測機敏資料的流向。如透過雲端服務、電子郵件、外接式儲存設備、Web Mail…等。透過設備控管，可以得知外接設備的使用情況，並藉由此訊息搭配其他蒐集的資訊，對既有的流程做出調整或規劃出更符合實際需求的政策。

B.    資料傳輸限制
稽核完成後，您必須加強安全性並解決相關漏洞。Endpoint Protector的監視政策可以輕易的轉換為限制性政策，以阻止不必要的文件傳輸、未經授權的檔案複製/貼上、屏幕截圖…等。上述所有政策可對應到各種檔案傳輸的途徑，並分別依照公司中使用者、電腦、群組…等進行整合。
法規對於個人隱私等資訊非常重視，因此、對個資的保護更是重中之重。在此、可以運用Endpoint Protector DLP的內容過濾防護，以及USB 控管功能來防止資料無意洩漏和有意盜取。

Endpoint Protector DLP 還能協助資料的跨境（跨國）傳輸。依照GDPR的要求，資料接收的對象（區域）必須提供足夠安全的資安防護（由歐盟委員會認定），否則禁止公司將個資傳給EEA（歐洲經濟區）以外的收件人。當然、歐盟委員會也會制訂例外情況。Endpoint Protector可以檢測並防止資料洩漏至歐盟國家以外的伺服器上（如Dropbox）。若公司採用的雲端服務或地區符合個資防護的適當級別，Endpoint Protector同樣能快速的設定允許或例外政策。這一切均取決於機敏資料傳輸的控管，以及公司相關政策的制訂。

C.    跨平台網路保護
GDPR指出，如果是Windows，macOS或Linux，iOS，Android，Windows Phone等或資料傳輸渠道（如電子郵件，雲端文件共享，外接式設備等），都應確保資料隱私。法規中未詳列平台的細節，因重點在於防護的流程與配套工具，以及無論如何都必須保護機敏資料。因此、在選擇資料防護的工具時，務必確保它能涵蓋了整個公司資訊架構，所有設備、途徑、行動裝置或對外端口。

Endpoint Protector的 DLP模組能幫助您保護機敏資料與客戶個資。Device Control加上Content Aware Protection 模組可以完整保護Windows，macOS和Linux上的機敏資料，Endpoint Protector 的 Mobile Device Management (MDM)模組可以保護iOS、Android以及macOS上的資料。為了強化資料外洩防護與GDPR的適法性，Endpoint Protector 提供獨有的USB強制加密模組。模組中的EasyLock加密軟體搭配Endpoint Protector，可自動完成部署。
 

瞭解更多GDPR的資訊，同時支援Windows、MAC、Linux 的DLP系統
https://epptw.com/

資料外洩的成本（2019年版）

根據波耐蒙研究所(Ponemon Institute) 和IBM Security今年發布的《2019年資料外洩損失報告》，在過去六年，全球資料外洩的平均損失增加了12％，在2019年總計每個資料外洩事件損失達到392萬美元。丟失業務是造成資料外洩損失最大成本，但企業發生資安事件後，若能警覺並妥善處理，客戶的營業額反而可增長至3.9％。

從在資料外洩的平均損失成本來看，美國的違規損失最高、為819萬美元；中東的平均最高外洩記錄數為38,800筆；而全球平均水平為25,575筆。從較低端的數據分析來看，印度的資料外洩平均損失為183萬美元。由部門別來分析，醫療行業的單筆外洩成本最高，為645萬美元，比資料外洩的平均損失高出65％。

從不同層面看資料外洩帶來的損失
資料外洩造成的損失可以是直接的、也可以是間接的。直接損失是指公司可能因違反資料防護法規而從國家監管單位罰款，但也包括後續處理機制的成本，例如在資料外洩的情況下必須啟動的稽核與通知、公告等流程。一旦發生資安事件，公司股價可能隨之下跌。

若尋求網絡安全諮詢公司提供專門協助，包含協助調查事件、法律諮詢服務…等，來應對資料外洩的後果（如訴訟案件），也被視為直接成本。根據違法的性質和法規條例，公司可能需實質的賠償客戶損失（賠錢）。

間接成本則是公司因於資料外洩而需面對的長期影響。如前所述，資料外洩會導致兩個問題，消費者信任度下降和提高資金周轉。資安事件也使投資者望而卻步，並影響公司成長與市值。隨著公司聲譽的下降，可能帶動重要員工離職，大多數員工喜歡在名譽好的公司上班。同時，相關的保險以及網絡安全…等軟硬體措施的支出會大幅提高。

法規罰款的增加
2018年《通用資料保護條例》（歐盟個資法GDPR）生效後，歐洲的資料保護機構立即決定為企業提供更多喘息的機會，以達到合法要求。但2019年起法案開始發威，陸續開出了多張天價罰單。

2019年7月，英國信息專員辦公室（ICO）對英航2.04億歐元（約70億台幣）罰款，原因是英航的安全漏洞導致約500,000名客戶的資料出問題，佔其年營業額的1.5％。僅僅一天后，萬豪國際集團就因類似的安全異常而再次被罰款約1.104億歐元（約38億台幣）。

與此同時，法國的CNIL追隨科技巨頭之一的Google，對這家美國巨人處以5000萬歐元的罰款（約17億），原因是他們的廣告缺乏同意。在德國，被處以754.9萬歐元的罰款。在波蘭，一家資訊經紀公司因未能通知其民眾正在處理個資，被罰款22萬歐元。

資料外洩的長期影響
資料外洩事件將困擾公司多年，事件中三分之一的損失會在發生後的一年才逐漸浮現。
《 2019年資料外洩損失報告》發現，資料外洩損失中有67％發生在第一年，第二年發生了22％，資料外洩發生後兩年多發生了11％。醫療保健和金融業…等這類受嚴格監管的行業，往往在事件發生後幾年才承擔更大的損失第一年佔成本的53％，第二年佔損失的32％，第三年佔損失的16％。

結論

隨著時間飛逝，有個趨勢逐漸明顯，那便是：資料外洩造成的損失正大幅增加。實施新的資安法規將有利於消費者的資料防護，並且讓資訊公司與不注重資料防護的公司保持警惕。而隨著《加州消費者隱私法案》（California Consumer Privacy Act）生效以及美國即將頒布《聯邦資料保護法》，這趨勢將在2020年越演越烈。

公司需要正視網絡安全和資料防護方面的投資，然後才能面對資料外洩所帶來的高額財務及名譽損失。資安事件已經發生時，制定適當的應變策略也很重要。《 2019年資料外洩損失報告》顯示，事先擬定資安應變計畫的公司，在發生事件後已經省下了超過120萬美元。

瞭解更多GDPR的資訊，同時支援Windows、MAC、Linux 的DLP系統
https://epptw.com/