Yahoo奇摩新聞 【換日線影劇】資安不該是口號,歐美博物館怎麼做?
作者:不務正業的博物館吧
國立故宮博物院(以下簡稱故宮)近期被爆出去(2022)年 6 月有 10 萬張高階文物圖檔,遭到有心人士用工具擷取局部,並透過軟體依序拼湊成高解析度圖檔後,外流至中國網站如淘寶上架販售,還在百度等搜尋網站、論壇散佈供人下載,引發國內譁然,甚至許多國外媒體及有關單位,如 CNN、ICOM(國際博物館協會)等也都視為國際事件分享、報導。
根據故宮的說法,事件的起因是源自一名承辦人員,為了加速公開 40 萬張 600 萬畫素的圖檔,而用自己設計的程式去轉換高階圖檔。但是由於數量龐大,因此他由內部系統改為公開系統上作業,導致傳檔過程出現疏失,才讓外部人士有機可乘。
本次除了造成 10 萬張的典藏品圖檔外流,預估也將對故宮相關文物圖像授權的權利金造成影響,顯示了相關人員對資訊安全的意識有待加強,以及內部資訊安全程序有改善空間,以及防盜、偵測機制的失能。
各國博物館皆成駭客攻擊的目標?
博物館、美術館越來越仰賴資訊科技及日新月異的新軟體工具,加上疫情期間許多藝術品與藝文組織轉往線上募資及交易,這也使得博物館、美術館成為駭客眼中的目標。此外,藝文場館對資訊安全的重視度和投注資源普遍不足,內部人員的資訊安全觀念大多未能與時俱進,也導致了資料外洩、個人電腦感染勒索病毒的事件時有所聞,成了博物館資訊安全面對的「內憂外患」。
舉例來說,2016 年美國自然史博物館(American Museum of Natural History)一名館員因誤點網路釣魚信件而被詐騙,造成錯誤電匯了將近 300 萬美元,讓博物館損失慘重。2019 年舊金山亞洲藝術博物館(Asian Art Museum of San Francisco)被勒索軟體攻擊,癱瘓了博物館整個網路與資料庫,駭客還要求了高額的贖金。
再來,2020 年初有駭客駭入荷蘭特溫特國家博物館(Rijksmuseum Twenthe)與一名藝術經銷商協議購買畫作的電子信件,並且佯裝成畫商,欺騙了博物館將 310 萬美元的金額匯入一個香港的銀行帳戶,最後駭客沒抓到,博物館與經銷商還對簿公堂。
同樣是 2020 年,全球最大的教育管理、籌款和財務管理軟體供應商 Blackbaud 遭到駭客攻擊,導致使用該公司軟體的美國、英國與加拿大等教育及藝文組織,相關的會員資訊、贊助人名單、募款金額及細節等大量數據遭到竊取,造成嚴重個資外洩,史密森尼學會(Smithsonian Institution)、帕里什美術館(Parrish Art Museum)和英國國民信託(National Trust)等知名組織都成了受害者。
到了今(2023)年年初,澳大利亞國家海事博物館(ANMM)還發生了委外的 IT 技術人員將博物館後台的付款系統更改為自己的帳戶,直到博物館發現帳款對不起來後,才讓整起事件曝光。
資訊安全不該是口號,歐美博物館怎麼做?
這些資訊安全事件大多是人為造成,凸顯了藝文場館在資訊安全方面的脆弱性與危機意識不足,必須採取更多積極的措施來防範和確保資訊安全,避免和降低可能發生的損失和危害。
面對頻頻出現的資訊安全事件,歐美國家藝文場館除了追查問題根源、釐清哪些環節出問題之外,最重視的是防患未然,包含:定期掃描系統、檢查 IT 基礎設施中有沒有存在安全漏洞,同時還有加強訓練員工辨識釣魚信件和惡意勒索軟體,以求預防勝於治療。
舊金山亞洲藝術博物館就招募了 IT 專家們來重新掌控博物館自己的資訊安全系統,同步加強備份數位典藏與研究資料庫。澳大利亞國家海事博物館則是專門制定「資料外洩應變計畫」(Data Breach Response Plan),建立處理發生資料外洩時的程序、籌組緊急應變小組,以及後續有關的復原搶救措施。
不少博物館也量身制定了資訊安全相關政策,並且投入更多資源來建置監控安全及防禦機制等,或委託外部專業廠商協助維護管理,還定期舉辦資訊安全演練與培訓計畫,教育員工避免點選或下載可疑連結,強化資訊安全意識,這些無非都是希望保護博物館經年累月的數位資料與心血結晶,更重要的是──敏感的個人資料與長期建立起的聲譽及信任──不會因為駭客或有心人士而毀於一旦。
只是,大多數的博物館和非營利藝文組織長期處在人手、資金不足的窘境,在極度有限的預算內,幾乎沒有餘力雇用專門 IT 人員,甚至是進行員工培訓,更遑論強化資訊系統的安全,造成博物館依舊處在網路犯罪的威脅和資訊安全的風險之下。
開放資料仍是趨勢,不應再次緊閉大門
不過,確保遊客、會員、捐贈者、贊助人和員工等個人資料不外洩,與系統資料庫的安全性,固然是博物館的資訊安全重點;然而,要釐清的是,「加強博物館資訊安全」與「開放數位典藏資料」兩者並不衝突。
本次故宮圖檔外流事件的問題點並非是進行 Open Data 開放資料,而是其內部整體資訊安全的管理制度。
開放資料與知識共享已經是國際趨勢,像是:荷蘭國家博物館(Rijksmuseum)、美國大都會藝術博物館(Metropolitan Museum of Art)等,就將大量館藏的數位檔案及研究資料公開在網路上供人下載閱覽,尤其是許多高畫質的藏品圖檔都允許商業使用與複製改作。
博物館的藏品屬於大眾,為公共財產,將收藏的珍貴藏品圖像和知識盡可能透過多元多樣的方式,廣泛地分享給來自不同文化背景的群眾,是博物館的重要使命與職責。不僅能鼓勵民眾從中獲得新的創意活力及知識見解,還能有助於建立博物館與社會之間的緊密網絡,進一步創造並發展出更多的價值與可能性。
因此,博物館內部的資訊安全應有一套合適的管理制度及改善應對政策,它的目標並不是緊閉博物館資訊的大門,而是要確保博物館的任何資訊,都能以負責任的方式向公眾開放、近用。
※本文由換日線網站授權刊載,原標題為《在淘寶驚見故宮典藏圖檔!既要加強資安、又要開放資料,歐美博物館怎麼做?》,未經同意禁止轉載
更多換日線文章
你的密碼到底有多「祕」?了解「駭客產業鍊」,可能會讓你大吃一驚!
資料刪除很容易?為何沒異地備份?──公視「片庫被全刪」意外,教會我們的 3 件
作者簡介:
不務正業的博物館吧,於台灣文化資產與博物館界工作多年,後來到了英國深造進修,訪踏世界各地。認識到全球脈動的瞬息萬變,以及先進國家掌握趨勢所擁有的知識力量,希望將國外藝文第一手消息帶入台灣,拋磚引玉並帶動更多的想法與漣漪。 經營「不務正業的博物館吧」臉書專頁,提倡知識共享,隨興分享國外博物館和文化相關新聞、社論與展覽等消息趣事,也探討一些時事的藝文議題,歡迎一同分享和討論交流,來個輕鬆的 Bar 式聊天。
