https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

審判中...

2004 / 11 / 12
Carole Fennelly 翻譯/陳威安
審判中...

紐約市長Michael Bloomberg,在2003年網路駭客Oleg Zeze的犯罪審訊期間,忍受著超過一個小時的交叉詢問。之後,這位入侵彭博社(LLP)網路,並向Bloomberg敲詐的俄國公民獲判有罪。然而Bloomberg卻無法原諒公司的數位建設竟然會如此薄弱,於是Bloomberg決定要正面迎接並解決這個問題。
你的CEO已經準備好了嗎?
假設有一個可能對你公司不利的網路犯罪正接受審判,你的公司將經歷相當詳細的調查。你的員工,不論是IT部門的員工或在辦公室角落的員工,都將接受辯護律師的交叉詢問,辯護律師將會抨擊員工的工作能力、質疑員工的陳述、並且會嘗試懷疑公司的政策與程序。公司內部某些具有敏感性部分的文件與資訊,可能會變成公開的記錄,假如案子又引發廣泛熱烈的輿論,則公司便有可能會成為CNN與紐約時報所抨擊的對象。

當你的公司需在法庭上作證時,你可以要求一個公開,而且是非常公開的安全稽核。儘管你無法控制在法庭上發生的每件事情,但是你可以為你自己以及你的見證人做好萬全準備,以利於應付辯護詢問。

若你的 IT 安全政策相當穩固,並且有牢靠的危機事件回應計畫,那麼你可以準備好猛攻的行動。假如沒有,最壞的打算則是會暴露你的機密和弱點。

公平競賽
起訴網路犯罪需仰賴公司合作,因此大多數的檢察官都會試著辯識具有證據能力之證據,避免造成公司產生不必要窘境或暴露敏感資訊。透過發掘證據的程序,辯護律師可以檢視所有遭受扣押的證物,也能夠調閱出可能有疏忽或者可以減弱案情的任何事情,而此一調閱資料的動作便有可能會暴露出IT安全政策、處理程序與基礎建設的漏洞。若你的安全防護薄弱,將更難查清是誰需要為這一件犯罪事件負起責任。

藉由審判前之程序,當事人兩造得於法庭中,對於證據是否具備證據能力之爭辯,並由法官裁定將證據加以排除。此時公司人員即可藉此避免將公司敏感資料暴露於外。

「公司利用許多沒有實質用處的話,掩飾他們不想公開的公司商業祕密、危機回應的政策或是與弱點有關的資訊給檢警雙方。」Richard Salgado說。Richard Salgado是一位美國司法部電腦犯罪與智慧財產權部門的前高級律師,「而訴訟人可提出請求排除這類問題。」

同樣地,若原告確信被告在其它控告項目中獲判有罪,例如未經授權的入侵與危害網路,則原告便不會同意繼續進行控告可能會暴露高度敏感資訊的訴訟,例如商業機密的竊取。

「也只有在犯罪事件不會涉及到公司內部的關鍵部分,公司才會持續地提出告訴。」Salgado說表示。

但在某些時候,複雜即為優勢:例如原告斷定嫌疑犯與其辯護律師(通常是政府公派的辯護律師)既沒有時間、也沒有金錢能夠雇用專家,或者是與每個可能是證人進行面談,或許將所有相關資料都很實在地給予被告的辯護律師,但是實際上,由於過於龐大的資料,卻會讓被告的辯護律師無法在短期之內完全了解這些資料。

事實上,大部分的網路犯罪嫌疑犯在為自己的案件抗辯時,對於擁有訓練有素調查人員的政府,往往因為欠缺資源而無法對之進行有效的訴訟攻防。然而O.J. Simpson與Kobe Bryant卻擁有財力可以雇用夢幻的律師團隊;這也是大部分駭客所沒有的。因此,在大部分的案件中,你能夠取得有利的優勢條件。

法院的一天
Michael Bloomberg已經習慣紐約政治與企業界混亂的情況,且對於一些針對他本人的詢問問題也已經有良好的準備。但並非所有的總裁都是如此。

在你決定起訴並且讓你的總裁在法庭上如坐針氈之前,請考慮以下情境:

在一件據傳聞有入侵者偷取顧客資訊的案子中,讓強而有力的總裁遭傳喚作證表示其公司的政策與程序。

讓總裁談述他的想法並且清楚的表明不高興的態度,而關於回覆公司是否有制訂越權存取的政策,他回答說:「我不需要告訴我的員工自助餐廳在哪邊,我的員工自然會有辦法找到餐廳。」

被告的辯護律師按照他的步驟,一步一步地詢問總裁關於公司禁止分享密碼與存取權限之政策。當問到是否任何人都有他的密碼時,總裁的回答則是“只有我的祕書。”

被告的辯護律師問原告說:「那麼,你覺得你自己有依循的公司規定嗎?」原告的辯護律師隨即提出異議。雖然問題已經撤銷,但卻已經造成損害;被告的辯護律師暴露出原告的回答並不一致。

然後被告的辯護律師提出是否已將此入侵事件告知顧客的問題,由於先前的問題已經讓總裁感到慌張,而這個問題總裁的回答是已經有公開聲明的法律行為。之後被告的辯護律師再問是否有通知顧客其個人資料已經公開。總裁的回答卻變成是「我並不確定。」

總裁的證詞現下已經將審訊的焦點從被告轉移到受害者身上。總裁的詢問被導向至一個對他本身以及公司會有不良影響的情況之下。自從知道有其它人擁有總裁的密碼之後,被告的辯護律師便可合理的懷疑入侵者除了被告之外,尚有一些人可以做到入侵行為。

既然如此,則公司便沒有合乎規範的安全政策和程序,使得入侵者可趁隙攻擊,並且使得顧客覺得公司並不關心顧客個人資訊遭到暴露一事。

專家證人同樣處於如坐針氈的情況。

經全面調查,一位公司的系統管理員表示,他相當依賴防火牆所提供的防護功能來保護他覺得有弱點的網路系統。在交叉詢問之下,這位系統管理員被問到關於防火牆允許通過的服務項目,並詳細的提供客戶端連線與特別應用程式的相關資訊。然而問題在於︰防火牆支援如此多的服務項目,而這些都可能是漏洞。

之後系統管理員便作證他常用來調查入侵的方法:他在系統上執行一個指令卻沒有意識到這是個後門程式,並且觸發會毀損系統資料的「定時炸彈」;在通知管理部門發生問題之前,他已經花費了數個小時嘗試著修復毀損的資料。

系統管理員回憶著他的工作,之後便未經要求自行推測這是入侵系統的方法,而辯護律師提出抗議說現下系統管理員提供的是專業證詞。一旦證人的證詞偏入專業領域,則對方的辯護律師可因其證詞超出所能理解的範圍而要求不信任其證詞。

系統管理員的證詞暴露出假造的程序與缺乏管理的管理部門。顧客資料庫沒有受到足夠的保護,這可能導致公司需負擔民事賠償責任。在缺乏危機事件回應程序的機制之下,系統管理員判斷管理部門應該要建立這樣的回應機制,但此系統管理員的證詞是從檯面下蒐集而來的。

「辯護律師的交叉詢問是殘酷的。」Jonathan Klein說。Jonathan Klein是一個IT服務供應商Calence的高階安全管理者,同時也是在U.S. vs. Zezev審判中,替被告的辯護律師作證的專業證人。「即使是經驗老道的技術審查員,也會對這種已經對證詞設下陷阱的詢問而感到慌亂。」

另一方面,系統管理員破壞了重要的規則:證人應該只可針對問題做出回應,而不應自動加入或保留任何資訊。

損害控制
當無法防範特定安全損害時,你可以控制事件發佈的內容。 問題的答案停留於潛在風險之前。你不會希望你的顧客、你的企業夥伴或是大眾從媒體的管道聽到關於攻擊事件。尤其是當資料是處於危險之中,你應該迅速並直接與重要的顧客和企業夥伴聯繫,讓他們明白目前處於嚴重情況。

危機事件回應計畫(而你確實也需要其中之一)的每個資訊,都應該經由公司的媒體服務一同在管理部門與法律部門宣導相關資訊,而不是靠你的技術員工來宣導;當有件案子在調查的時候,你便不希望有太多流出的資訊。

檢方同步行動,而你的PR部門也要為公開洩露建立一套基本規則。當公司可能希望在調查行動中,不公開的跳過將要受到調查的內容細節,則管理部門應該設計一個供詞來達到目的,「我們客戶的資料是我們最重要、最關心的事。我們盡最大的努力確保我們客戶的資料是安全的。我們堅決地相信罪犯的犯罪行為不可能會僥倖成功,而且我們打算完全以法律來起訴這些罪犯。」

這個調查程序應經由審判而持續擴大,誰在這種情勢之下受公司的委託而出來說話?誰與檢察官聯繫? 在沒有瀕於危險處境的案子中發言,有什麼限制?

打通電話
當起訴一個網路犯罪嫌疑犯時,沒有任何事可留下機會。在調查與審判期間應盡的義務與程序,應該全部都會在你的危機事件回應計畫之中有詳盡的描述。在這樣的情況之下,對管理部門、IT員工、HR、PR與法律部門的所有員工詳加說明規章。在最開始決定打電話進行法律行動以及應該由誰來打這通電話,都應該同時要在危機事件回應計畫中有詳盡的陳述。

記住一件關鍵性的事情:一旦官方介入,即進入正式調查程序。經調查之後,由檢察官決定是否起訴嫌疑犯及起訴之內容,而這已經不是你的公司所能決定的了。即使實際案例中,沒有公司的合作要進行起訴是很困難的,有時候甚至是不可能的。

通報並起訴網路犯罪,算是多管閒事。但在某些案子中,你沒得選擇,例如某人入侵你的FTP伺服器,並建立兒童情色網站;入侵者使用你的網路積極展開攻擊你的企業夥伴;你在加州資料庫安全危害通報(加州資料隱私法案,SB1386)之下揭露的入侵者。在上述的情況中,有關攻擊的資訊幾乎都變成公開的,撇開你的顧客和企業夥伴疑惑不說,有誰對你的服務感到興趣。

建立一個堅固的公司信譽對你是有利的,送一句話給想要成為歹徒的人:「別惹我們。」