https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

離職員工是企業主心中的痛 ?

2009 / 07 / 09
黃敬博
離職員工是企業主心中的痛 ?
企業主在面對離職員工時可採取緊急應變程序,做好保護企業的最佳基本原則。

  員工離職是企業經營時常發生的事情,在許多的離職案例中,「離職」往往是另一個災難的開始,企業主常常在員工離職後遭遇更多有形或無形的損害,輕則可能因員工離職前,將工作職掌範圍內的重要資料故意刪除或隱匿,造成接替人員工作無法順利進展;重則離職員工可能竊取公司重要商業機密或智財成果,轉而投靠敵營或另立門戶,造成公司巨大損失。而更慘的是,企業主一開始可能並不自覺,往往在事情發生許久且造成公司嚴重傷害時,才開始採取相關的挽救措施或懊惱地進行法律訴訟,對於已經造成的傷害多數無法挽回,而所進行的求償訴訟,可能因時間的延遲及不當的處理,使原本可以輕易掌握的有利證據已經消失殆盡,錯失許多問題防範的最佳時機點。本篇將以改編的真實案例來說明,企業主在面對離職員工時可以採取的緊急應變程序,及如何做好保護企業的最佳基本原則。

離職員工外洩資料案例

  知名科技公司某研發主管John Wu於農曆年前提出辭呈,計劃於農曆年後離開公司,辭職的理由為與公司理念不合將另謀發展,而John Wu於離職後即加入新穎
科技公司,且在不久之後的兩個月內便發表出與原公司同質性極高的新產品,造成原公司的巨額損失。

  以本案例而言,首先,我們先進行了解:John Wu在任職研發主管時是否有簽立保密條款或員工守則,此為公司在管理面上可進行的最基本防護。員工守則中確規範職掌內容及保密的範圍,並同時告知公司有權對於任職員工在上班時間於工作場合所從事的資料予以適當的保存,其中包含電子郵件、即時通訊或任何相關的電子數位資訊等,其主要目的在於公司必需善盡告知的義務,使員工了解在上班時間使用公司資源所從事的資訊傳遞並不屬於隱私權範圍,如此當公司遭遇緊急事件時,即可明確調閱相關的電子資訊,使數位證據的搜尋具有正當性,並避免日後訴訟時員工可提出侵犯隱私權等相關爭議。另外在保密條款中,部份公司會增列旋轉門條款,可避免員工在離職後一定時間內到競爭者公司從事相同性質的研發工作,但基於憲法有保障人民工作的權利,因此這項條款主要的認定仍在於是否有竊取公司暨有的研發成果或商業機密而運用到新任公司中;?因此最終該如何有效的具體舉證,才是真正確保公司權益的重要關鍵。

  另外,我們將進一步了解:John Wu在原公司任職研發主管時,是否常使用公司所賦予的電腦相關設備、USB儲存設備或手機設備進行私人工作。由於許多公司在資產管制上允許員工攜帶個人的筆記型電腦或儲存設備應用於工作場所中,如此將會造成當公司遭遇到緊急事故時,即使清楚明白某人的個人電腦上一定存有關鍵的數位證據,但此個人電腦或USB隨身碟卻屬於個人資產而非公司資產的部份,除非當事人同意,否則公司將無權去搜尋屬於個人資產範圍的任何資訊。因此在公司管理策略上,若是員工平常是使用個人私有的電腦設備在處理工作上的事情,則所有的資料及關鍵機密資訊自然存在於私人領域的儲存裝置中,當發生問題時則會造成2項重要阻礙,第1、將無法於事件發生時做好對公司權益保護的蒐證工作;第2、由於當事人習慣於使用個人電腦設備,因此導致在其他公司配發的電腦設備中,將找不到具有舉證價值的數位資訊,因此公司在管理上應明令不得攜帶私人的電腦設備及儲存媒體,且只能使用公司配發的設備於公事應用上。

  在本案例中,公司有配發一台筆記型電腦供John Wu使用,且自開始任職研發主管時即有簽署保密工作協議,因此本案的處理重點,則是如何找出其違反保密協議及洩漏公司機密的具體證據。

不應忽視數位證據保存程序

  根據筆者經驗,絕大多數的公司均在遭受緊急事故時,才想到要來進行相關的電腦鑑識服務,雖然大部份案例中仍有極大機會可以找到重要的數位證據資料,提供給公司作進一步決策,但更明智的作法則應該著重於事先的預防。由於許多科技公司最重要的核心技術或商業文件均是以數位資訊的方式存在,非常容易經由各種管道外洩,因此公司在預防上常常只從資安思考的角度去規劃,考慮如何從各個層面去作好防堵機密外洩的情事發生,但卻忽略了從法律與舉證的角度去規劃緊急應變的程序。

  企業可能在預防上投資了各種昂貴的防禦機制,例如:(1)文件加密及管制系統;(2)文件特徵及洩密偵測系統;(3)使用者端安裝稽核管理程式;(4)網路行為稽核管理機制。儘管如此仍然還是無法杜絕員工惡意洩密事件,我們明白雖然每項技術均有其獨特的優勢,但相對的也有其無法防制的盲點,目前為止並沒有一項技術可以完全保護洩密情事發生,例如:使用3G連線可能造成第(1)及第(4)項的防禦漏洞;使用LiveCD來開啟主機則可以躲過第(3)項使用者端的稽核管理機制;而對於第(1)項的機制只適用於歸檔後的文件管制保護,卻無法保護未歸檔前文件即遭洩密的風險。

  因此每項防禦機制導入時,實際上仍必須配合公司型態去調整適當的管理程序機制,才可以補足技術上無法達成的漏洞,但公司在做整體規劃時卻常常忽略成本最低但卻可能是成效最大的數位證據保存程序,因為傳統觀念中仍認為電腦鑑識只是亡羊補牢的措施,而非明智的預防方式,只有在準備進行法律訴訟時才需要電腦鑑識,而興訟通常是企業最後不得不的痛苦決擇,所以只有在面臨重大事件時才會考慮數位證據的蒐證及保存,但通常會請求電腦鑑識人員來進行協助時,企業大多已經遭受嚴重的傷害,希望藉由最後一道防線「法律」來幫公司爭取應有的權利,因此如何把電腦鑑識用於事前的預防,而非只是事後的追查,是目前公司在作資安規劃時所普遍缺乏的觀念。

  以本案例而言,John Wu其實早在多次會議中即抗拒公司所要執行的稽核管理計畫,且研發進度已出現嚴重延遲的現象,明顯已有一些工作上的不尋常舉動,根據後來的深入了解,其實那段時間正好是John Wu開始有計畫竊取公司機密的時機,而超過9成的預謀犯罪者都會設法了解公司的防禦措施而計劃一個安全的躲避方式,特別是研發或MIS技術人員對於公司的防禦架構會更形了解,因此知名科技公司雖然在每個研發使用者端安裝稽核管理程式,可以了解每個使用者在本機所進行的任何操作及檔案搬移記錄,甚至必要時可擷取使用者端的操作畫面,並在網路端有佈置上網行為稽核機制,只要是郵件或Web傳遞的資料均可以保存供調閱稽核,但在事件發生後去調閱所有的稽核管制平台,卻沒有發現任何異樣或足以證明的證據,企業主對此感到相當憤怒及沮喪,眼見John Wu竊取公司重要研發成果,卻苦無具體證據可供檢視,最後請求電腦鑑識協助時,我們發現John Wu的筆記型電腦中有許多未歸檔的重要研發資料,但這些資料明顯已被刪除於硬碟的未分配磁區,且早在3個月前外包廠商即已將研發成果交付給John Wu,但內容與他故意歸檔於公司的資料明顯有不一致現象,造成公司研發進度的嚴重延遲及新產品未能及時推出的商業損失,且還發現部份刪除的資料中有新穎科技公司重要成員的通訊錄及安排約訪的行事曆資料,顯示JohnWu早在任職期間即有計劃的與競爭者公司密切接觸。

數位證據存在範圍廣泛

  至此John Wu已因違反民法須負民事侵權損害賠償及刑事妨害電腦使用罪責任(註1.2)。有了具體證據及損害事實時即可對執法單位進行報案,但對於公司想要證明John Wu有洩密於新任職公司,並制止對手公司推出新產品或達成求償的目標仍有一段距離,由於數位證據存在的範圍非常廣泛,如圖1所示。

  一般可以掌握的數位證據大多在於圖1的公司範圍(一),屬於非公司範圍內的數位證據,除非權責單位或個人願意提供,否則只有執法單位有權利申請搜索票或行文請求提供。對於John Wu的案例,實際上他是把公司所配置的筆記型電腦帶回家,直接把硬碟拆卸後接到家裏個人電腦系統中,把資料複製走並進行刪除,因此在公司所配置的筆記型電腦雖然有裝置稽核管理系統卻無法留下任何記錄,且所有資料外洩也是從家中電腦經由Yahoo Web Mail進行,自然公司的網路稽核管理系統也查不出任何的異常證據,因此本案例是在最後警方扣留了John Wu的個人電腦後,具體做了鑑識才足以在Web Mail殘留足跡中找出與競爭者公司的郵件往來內容及檔案寄送的具體證據,才可證明John Wu確實竊取公司相關機密並外洩給新穎科技公司。

善用磁碟映像檔保存證據力

  假若知名科技公司在緊急應變程序中加了電腦鑑識的預防程序,當第一時間發現John Wu有異常時,可以先作好其筆記型電腦的磁碟映像檔(Disk Image)並予以完整保存,執行的方式是任何非技術背景的稽核人員只要按照一定的流程及操作方式即可進行,如此即可作好第一時間點的證據力保存,提早進行預防措施。另外,在預謀犯罪時通常會有很多徵兆可循,倘若我們事先發現研發進度的延遲是人為因素所造成,且John Wu明顯有與競爭者公司密切接觸的資料時,當John Wu於離職後,即可先寄發存證信函給John Wu予以正式通知並警告,而警告的內容只要詳列所發現的具體證據之一,就可以達到相當程度的阻嚇作用,由於犯罪者並不清楚公司所掌握的其它證據範圍,因此原本打算即刻進行的破壞計畫通常會先暫停觀望或就此打住,倘若發現John Wu已任職於競爭者公司時,則亦可發送存證信函給對手公司,告知離職員工對原公司所進行的侵權事項及具體證據,請對手公司不要誤用或捲入可能引發侵權的爭議事件,一般公司在收到類似信函時,由於在不確定的狀況下,均會採取保守因應的策略,因此原本可能會引發公司巨大損失的事件,在第一時間點即可避免掉。我們曉得在所有的資安事件中,往往「人」才是最難防堵的漏洞及死角,若只從技術的角度出發並非是企業最明智的作法,由於時機是非常重要的預防關鍵因素,因此適當運用法律與數位證據保留機制,在緊急應變程序中加入不同程度的電腦鑑識檢查機制,往往可以得到你意想不到的防弊效果。

註:
1. 民法:依民法第一百八十四條第一項前段規定:「因故意或過失,不法侵害他人之權利者,負損害賠償責任。」

2.刑法:離職員工故意刪除公司之電腦資料,其行為觸犯刑法妨害電腦使用罪。刑法第三百五十九條規定:「無故取得、刪除或變更他人電腦或相關設備之電磁記錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。」又該罪係屬告訴乃論罪(刑法第三百六十三條),即有告訴權之人須於知悉犯人之時起,向檢警機關表示要訴追犯罪,或是自行向法院提起刑事告訴,逾期告訴權人就不可以再提起刑事告訴(目前追訴期為6個月)。

有關磁碟映像檔

  使用字元串流(Bit-Stream Duplicate)的複製方式將數位證物的硬碟進行整顆硬碟或磁區的完整複製到一個檔案,此檔案則簡稱為磁碟映像檔。