觀點

USB硬碟要怎麼管?

2005 / 11 / 03
徐 子 文
USB硬碟要怎麼管?

兩年前我應邀參加一個資訊安全產品解決方案廠商辦理的發表會,在議程中的問答時間中,有一位參加聽眾問台上的專家顧問一個問題:「USB硬碟要怎麼管?」。
這專家顧問一時之間回答的有點吞吞吐吐,不是很順暢,答案模模糊糊的。雖然提了很多的建議方案,但是似乎無法滿足這聽眾的需求。我們在下面很替這專家顧問覺得緊張,因為這時他忘了反問了一個最重要的問題:「你為什麼要管USB硬碟?」
安全或是風險對應政策應該是針對風險威脅而來。不同風險威脅可以用很多種方法來達成相同的風險管理目的。
聽眾會問這個問題而言,因為他假定的是『USB硬碟是資訊機密外洩的風險威脅』。這個命題,在某些情況下是正確的,但是換個角度和邏輯思考可能會更完整些。
資訊機密外洩是一個風險,要避免這風險的對策則有很多種。
一般而言,我們可以用的風險管理手段有:1.規避風險 (Avoid);2.轉移風險 (Transfer);3.分散風險 (Segregation);4.風險預防 (Prevention);5.損失抑制 (Reduction)。
前面三項屬策略面,後三項則是作業面。
選擇風險管理手段和對策一定要想到風險管理成本的問題;能夠找到源頭,就有機會找到最有效、最具成本效益的方法。
若以客戶資料保護而言,以『風險=威脅×可能性×弱點×緊要度』和『犯罪=動機+手段+機會』這些公式來簡單分析就知道客戶資料外洩的風險是相當大的。
為了作業上的需要,客戶資料一定是在公司裡面被各單位使用,也會被不同的媒體工具存儲。不要忘了,資訊安全並不只是資訊科技安全。客戶資料存在電子媒體和印在紙張上的同樣都是客戶資料,都是要被保護。就算我們控管了印表機和所有的I/O埠,還是必須要用螢幕把資料呈現出來,才可以做客戶服務吧!有心的人拿紙筆就可以抄下來了呀!(這不是誇張的說法,是真實的案例!)
因為有客戶資料就會有資料外洩的風險,要規避很難,要轉移則可能更危險(2004年案例顯示,洩漏資料就是負責協助建檔的外包廠商)。因為要在後端做預防很難,所以要解決客戶資料外洩的可能性,所以在策略上要採用分散風險管理。如果從源頭著手,降低所謂客戶資料的價值,或許會來的更有成本效益。
除了必要的和無法避免的集中(如Data Center、帳單印製中心等)必須要在此處特定加強控管外,在平常應用時就要想辦法讓資料夠用但是卻不是真正的客戶資料,也就是不讓它成為「足徵辨識為個人者」的資料(例如:完整電話號碼+姓、部分電話號碼+身分證字號,或是另外訂一個參考號碼做為內部工作處理用等),讓想獲得完整資料的人必須要另外再找其他好幾份資料來做參照,才可以對的出來,增加其難度和被偵測到的機會。
策略上做了分散風險之後,接下來就是要做風險預防。這就是大家比較熟悉的,即利用各式軟體硬體和程序控管的一些技術和作業管理方式。前面提到的問題『USB硬碟要怎麼管?』放在這邊就很恰當。
當然,損失抑制的機制也要建立,讓事件發生初期就能夠早期發現,早期『治療』。
良好的管理就是要先『理』再來『管』。下次遇到類似問題,建議問一下:『為什麼要管?』

本文作者 徐 子 文 MSc. CPP為國際認證CPP專業安全管理師,美國產業安全學會(ASIS International)台灣區分會會長
USB