觀點

<2014亞太資安論壇展後報導>個資法退燒 資料保護著重內稽內控

2014 / 04 / 11
編輯部
<2014亞太資安論壇展後報導>個資法退燒  資料保護著重內稽內控
企業資安策略往往與法規遵循息息相關,台灣最明顯的例子就是個資法,2012年10月正式上路後,不少企業思考因應之道,市場上相關解決方案蔚為熱門,2013年資安展超過3分之1的議程都是以個資法為主題。

然而一年多的時間過去,媒體先後揭露好幾起個人資料外洩事件,卻不見主管機關大規模調查或開罰,也沒有民眾發起團體訴訟,個資法所帶來的影響似乎沒有想像中那麼大,企業關注度也跟著降低,這一點由2014年資安展以個資法為主軸的議題不到10場便可證明。

在個資法光環消退後,如今企業在談資料保護,不再以防止資料外洩解決方案為主,反而強調內稽內控的重要性,趨動市場轉變有兩股力道,一個是來自主管機關或主要客戶的稽核要求,另一個則是營業秘密法修正上路後的市場需求。對擁有Know-How的企業而言,透過稽核及監控作業可以保護自身的智慧財產權,避免員工竊取公司營業秘密,即便不能防堵機密資料外洩,也能在事後的法律追訴行動中取得優勢。

電子郵件稽核需求大
日誌管理(Log management, LM)是內部稽核不可或缺的工具之一,中華數位A Log產品經理張莉屏表示,從個人資料保護法與營業秘密法的角度來看,對於存放個人/機密資料檔案或資料庫,應有適當的存取控制與保護監控措施,例如對檔案伺服器(File Server)、NAS、DB Server進行存取記錄管控,因此A Log在2014年增加對Windows Server、NetAPP與EMC儲存伺服器的支援,滿足企業對檔案存取的稽核需求。

除了對檔案或資料庫進行存取稽核外,電子郵件稽核也相當重要,綠色運算副總經理陳兆寧認為,電子郵件稽核的好處是:1.交易信件是否遭入侵或擷取;2.有沒有黑函散播、異常通訊行為、資料外洩…等狀況;3.確認各部異常郵件的流量與動向。

然而,企業往來的電子郵件數量極為龐大,如何在巨量郵件中找出異常,考驗著各家產品的搜尋技術。陳兆寧指出,傳統使用電子郵件歸檔(Archiving)系統進行稽核的作法,只能利用關鍵字搜尋的方式檢索郵件,達不到分析或探勘的目的,甚至很多稽核規則也不能套用,如:搜尋收件者同時有客戶和供應商的郵件,導致很多異常郵件會找不到,因此綠色運算發展出巨量資料比對技術MPM,將非結構化資料也納入分析,強化搜尋精確度。

其達科技經理林育信則表示,企業在進行電子郵件稽核時經常遇到的問題是,明明平常都有作歸檔與備份,但要以某個規則去搜尋電子郵件時,卻往往撈不到資料,因此其達採用3階段搜尋方式,第一步是自動排程搜尋,新郵件若符合系統所設定的稽核條件,就會自動加入稽核專案中並通知相關負責人;第二步針對自動排程搜尋過濾出來的郵件進行進階精確搜尋,稽核專案負責人可自行設定搜尋條件;最後則是將郵件分類給稽核專案中的成員做進一步檢視。

資料庫、檔案分享與郵件安全
在落實內稽內控之外,對於資料本身的安全維護又該注意什麼?先從資料庫安全來看,WareValley營運長Kenny Kim認為有以下幾個重點:
1. 把正式線上資料庫的資料下載到開發/測試資料庫時,必須遮罩/加密。以前企業都把心力放在維護正式資料庫上,但開發與測試資料庫一樣重要,像南韓KCB信用局個資外洩事件,有一部份外洩的資料就是從測試資料庫來的。
2. 必須監控哪些終端使用者/應用程式/資料庫使用者來存取資料庫的資料,同時要有稽核記錄。
3. 避免使用者在個人電腦端儲存、複製或列印機敏資料庫內的資料,例如使用資料庫遮罩、欄位加密、禁止郵件寄送或列印...等功能。
4. 落實資料庫流程管理,任何與資料庫有關的改變與調整都要經過簽核,確保DBA有遵循公司政策去管理資料庫。

至於文件安全,優碩資訊技術行銷經理陳品翰表示,當文件在企業內部流通時,可選擇以檔案或應用程式為基礎的加密機制做管控,倘若要與外部協力廠商分享檔案,優碩則推出Trust Box電子文件保險箱機制,結合密碼認證與權限管控(如:複製、列印、編輯、有效時間)功能,文件管理者將文件與使用權限打包成.exe檔,透過網站伺服器、檔案伺服器、電子郵件等方式傳送,外部協力廠商不需安裝代理程式,只要輸入密碼就可開啟文件。

日立亞細亞Hitachi產品經理張宗宏認為,企業選擇加密軟體最重要的因素是操作方式,由於大多數使用者並非資訊專業人士,太複雜的操作程序會降低業務效率,以日立秘文產品為例,其是在應用程式將資料儲存到硬碟時才加密,因此導入前後的操作程序沒有差異,若要將檔案攜出公司,只要移動至特定資料夾並設定密碼即可,另外,在管理上也可以依員工職務或位階別彈性調整文件攜出的管控方式,亦即部份使用者可以攜出不加密的文件,部份使用者則需經過主管同意才能攜出不加密的文件。

另外,Openfind產品管理部經理林家正指出,企業郵件伺服器最好選擇雲端系統或自營雲端服務的業者,此類業者客戶數量多且型態多元,可以從中分析攻擊型態,即時更新pattern;至於功能上至少應具備以下4點:1.可以彈性設定稽核規則;2.異常通報與攔阻;3.自動退信/加密寄出;4.定期產出報表。

營業秘密管理6大風險
最後回到文章一開頭提及的營業秘密管理,中華數位企業資料保護研究小組顧問吳毅勛指出,從實務面來看,企業在管理營業秘密時經常遇到以下幾種風險:
1.定型化契約的無效風險:某些情況下,雇主可能要求員工簽署「競業禁止合約」,合約內容若沒有差異,沒有視員工的身份、職等而有所不同的話,可能就不具備實質效力。
2.監控與侵害員工隱私的不同:企業在監控員工電腦時,必須注意以下幾點,避免引起侵犯隱私的爭議:(1)要有公開政策,說明監控目的與方式;(2)必須取得員工同意;(3)稽核要有既定程序和原因,不能老闆臨時起意想要稽查某個員工就去調資料。
3.離職SOP不足:正確的離職程序應該是員工提出時,要求其簽署「機敏資料刪除」同意書,並由稽核人員調閱前3­6個月的稽核記錄,如:檔案存取、郵件往來...等,檢視是否有異常,若有就再做進一步處理,若沒有才能進行後續的離職程序,然而目前很多企業都沒有做好離職前的稽核。
4.營業秘密的認定問題。
5.資料損失的舉證問題,包括資料的存取和輸出都要有記錄。
6.侵害營業秘密事實的認定問題。

企業在設計營業秘密管理制度時,應該涵蓋人員安全、機敏文件、監控與稽核、研發管理、設備安全、與資訊安全共六個面向,其中在規劃監控與稽核程序時,必須注意以下3個重點:
1.基礎設施必須留下記錄,如:郵件、網路內容、檔案輸出…等;
2.結合現有IT設備;
3.高風險企業應建構結合稽核程序、法務合約、IT工具的完整內控方案。

他進一步指出,企業在設計稽核政策時應該結合自身文化,再視風險高低來決定稽核頻率,舉例來說,高風險事件應做好事前稽核、且每個禮拜都要進行稽核。中風險事件(例如:寄送大量郵件)只要做到定期報表統計、特定部門行為分析即可,至於低風險事件則應搭配郵件分析工具做內容分析,確認是否含有機敏資料。為避免造成太大衝擊,建議先從高或中風險事件做起,之後再擴及到低風險事件。

相關文章:
<2014亞太資安論壇展後報導>APT方案大對決 DDoS手法更多元