USB硬碟要怎麼管？

兩年前我應邀參加一個資訊安全產品解決方案廠商辦理的發表會，在議程中的問答時間中，有一位參加聽眾問台上的專家顧問一個問題：「USB硬碟要怎麼管？」。
這專家顧問一時之間回答的有點吞吞吐吐，不是很順暢，答案模模糊糊的。雖然提了很多的建議方案，但是似乎無法滿足這聽眾的需求。我們在下面很替這專家顧問覺得緊張，因為這時他忘了反問了一個最重要的問題：「你為什麼要管USB硬碟？」
安全或是風險對應政策應該是針對風險威脅而來。不同風險威脅可以用很多種方法來達成相同的風險管理目的。
聽眾會問這個問題而言，因為他假定的是『USB硬碟是資訊機密外洩的風險威脅』。這個命題，在某些情況下是正確的，但是換個角度和邏輯思考可能會更完整些。
資訊機密外洩是一個風險，要避免這風險的對策則有很多種。
一般而言，我們可以用的風險管理手段有：1.規避風險 (Avoid)；2.轉移風險 (Transfer)；3.分散風險 (Segregation)；4.風險預防 (Prevention)；5.損失抑制 (Reduction)。
前面三項屬策略面，後三項則是作業面。
選擇風險管理手段和對策一定要想到風險管理成本的問題；能夠找到源頭，就有機會找到最有效、最具成本效益的方法。
若以客戶資料保護而言，以『風險=威脅×可能性×弱點×緊要度』和『犯罪=動機＋手段＋機會』這些公式來簡單分析就知道客戶資料外洩的風險是相當大的。
為了作業上的需要，客戶資料一定是在公司裡面被各單位使用，也會被不同的媒體工具存儲。不要忘了，資訊安全並不只是資訊科技安全。客戶資料存在電子媒體和印在紙張上的同樣都是客戶資料，都是要被保護。就算我們控管了印表機和所有的I/O埠，還是必須要用螢幕把資料呈現出來，才可以做客戶服務吧！有心的人拿紙筆就可以抄下來了呀！（這不是誇張的說法，是真實的案例！）
因為有客戶資料就會有資料外洩的風險，要規避很難，要轉移則可能更危險（2004年案例顯示，洩漏資料就是負責協助建檔的外包廠商）。因為要在後端做預防很難，所以要解決客戶資料外洩的可能性，所以在策略上要採用分散風險管理。如果從源頭著手，降低所謂客戶資料的價值，或許會來的更有成本效益。
除了必要的和無法避免的集中（如Data Center、帳單印製中心等）必須要在此處特定加強控管外，在平常應用時就要想辦法讓資料夠用但是卻不是真正的客戶資料，也就是不讓它成為「足徵辨識為個人者」的資料（例如：完整電話號碼＋姓、部分電話號碼+身分證字號，或是另外訂一個參考號碼做為內部工作處理用等），讓想獲得完整資料的人必須要另外再找其他好幾份資料來做參照，才可以對的出來，增加其難度和被偵測到的機會。
策略上做了分散風險之後，接下來就是要做風險預防。這就是大家比較熟悉的，即利用各式軟體硬體和程序控管的一些技術和作業管理方式。前面提到的問題『USB硬碟要怎麼管？』放在這邊就很恰當。
當然，損失抑制的機制也要建立，讓事件發生初期就能夠早期發現，早期『治療』。
良好的管理就是要先『理』再來『管』。下次遇到類似問題，建議問一下：『為什麼要管？』

本文作者 徐 子 文 MSc. CPP為國際認證CPP專業安全管理師，美國產業安全學會(ASIS International)台灣區分會會長