https://www.ibm.com/events/event/pages/ibm/f7x183mb/1581037797007001PJAd.html
https://www.ibm.com/events/event/pages/ibm/f7x183mb/1581037797007001PJAd.html

觀點

北市法規會 申請國賠洩個資

2009 / 07 / 13
編輯部
北市法規會 申請國賠洩個資
台北市政府法規會日前爆發民眾資料外洩事件,以下3位專家,將從Web Securuty、委外管理等層面,為這起案件寫份診斷書。

存取控管首要求


  我覺得這個案例是因為系統功能面在設計之初沒有把安全的觀念融入,系統裡面可能存放著相關的個人資料以及詳情,所以必須要有最基本的存取控制(access control)要求,這是網站必須要做到的第一個基本要求,因為網站是公開在網路上的服務,任何人都可以接觸到,提供基本的存取控制,例如:必須要先輸入帳號密碼才可以存取到「自己」的資料查詢結果,而且應該只能查詢到一段時間內的案件資料,這樣也可以減少一旦系統被攻破大量資料被外洩的機率。

  此外,網站功能設計上通常被忽略的就是現在很常見的注入式攻擊,任何可以讓使用者輸入資料的地方,包含網站的網址後面帶的參數與畫面中的輸入表格,都必須要做輸入資料的格式與長度驗證,可以確保網站不會被這種常見的網路攻擊手法入侵成功。

  注入式攻擊目前已經沒有任何難度可言,網路上充斥著非常多的自動化工具,可以說是非常低門檻低成本的攻擊方式,也是目前許多網路個資外洩的主要威脅手法。

  除了在系統設計上必須要求委外廠商提供安全的系統設計規格之外,在開發的過程中與最後系統驗收時必須要能夠去驗證安全規格是否真正被落實執行並且達到期望的能力,驗證的方法包括開發過程中的原始碼檢測(Code Review)、系統功能測試(Testing)等,在驗收時也可以透過原始碼檢測去驗證是否按照規格與功能完成安全防護的需求,另外也可以透過外部的滲透測試(PT),直接模擬攻擊者的手法對於系統做安全測試,從外面的角度看系統是否可以承受住外面網路世界各種的常見攻擊手法,並且有足夠的安全回應與稽核檔案記錄功能。

  因此對於委外廠商的系統安全需求管理,必須要從一開始的規格著手一直到最後驗收的安全功能驗證,還必須考慮到系統外部的網路防火牆與應用系統防火牆的保護、儲存資料的加密保護等,都可以事前避免此類事件再度的發生。

評估條件 慎選委外

  就編者提供之個案內容看來,本案應屬委外資訊廠商服務交付管理中的資訊安全管理議題。其實本案例正突顯出目前資訊委外趨勢下之安全警訊及風險窘境。

  先引用ITGI 2008 IT Governance Global Status Report之統計圖表,說明並呼應此議題:

  交叉分析後,可以解讀為各組織因員工不足,而委外作業所產生之服務交付及隱私安全問題,是目前非常值得關切的議題。

  個人謹對具有類似需求的組織,提出下列幾方面之委外管理準備工作:

1. Well preparation & definition:

  組織應以風險角度,決定委外範圍及專案。並非任何專案均可藉由委外獲得解決。定義明確的專案內容,SLA(Service Level Agreement) 服務等級協議可確保服務內容及安全是整體資訊系統專案的一部份。資訊系統包括作業系統、基礎建設、營運開發的應用程式。所有的安全要求應在專案的要求規範階段識別並說明其合理性,獲得同意,並記錄為整體資訊系統營運專案的一部份。

2. The right resources available:

  委外人員是否具有所需的經驗與能力?某些經驗顯示,單純以價格決定的資訊委外資源常以臨時雇員充數,尤其更缺乏專業的安全實務經驗。委外廠商是否具有委外專案相關維護或開發經驗?或熟悉此系統及環境者?若是,則學習曲線較短。若不是,則您必須安排現有員工協助委外夥伴學習整個環境。若無足夠之委外資源可用時,組織必須投入訓練成本及時間,將導致預期效益無法迅速展現,甚至無法順利達成目標。

3. The good processes and systems:

  委外廠商評選標準應建立,建議確認其是否已符合相關國際標準(如:ISO 27001或 ISO 20000)之特定要求,您可要求委外廠商提出其在何時被何組織評審? 如何評審?已建立制度之委外廠商,會有相對良好的管理流程。

4. The on-site support and reporting mechanism:

  委外廠商應有較資深的小組成員提供服務(如:駐點),人數比例一般為1:2~1:10,視專案類型及階段而定。資深人員可確保迅速有效處理問題。雙方應指派單一經理人或窗口,並建立高層溝通管道,以利定期會議(並以流程方式量測追蹤專案進度),重大事件處理及相關變更管理。

5. Data protection and security controls:

  若涉及個人資料及隱私者,可使用密碼控制措施以達到不同方面的安全目標,例如:
(1)機密性:儲存或傳輸時,使用資訊加密以保護敏感或關鍵資訊;

(2)完整性/鑑別性:使用數位簽章或訊息鑑別碼以保護儲存或傳輸的敏感或關鍵資訊之完整性和鑑別性。

  單就這新聞內容來看,說實在不太容易了解其真實原因,但應該不
是駭客攻擊行為,而是網站應用程式的本身的問題。

  由網站「國家賠償請求線上申請」功能來看,除需填寫申請人個人資料外,還有上傳佐證資料的功能,我想問題應該是這些上傳的文件被放在不該放的地方,而被搜尋引擎所「耙」到,技術問題不談,程序上問題我想就已「罄竹難書」。

  首先在委外開發過程中,一般而言需求端至少都應該提供功能面需求,有哪些資料需被蒐集、後續處理、安控機制等,對於此案例所蒐集的資料,市府方面或是法規會應該不會不知道哪些是屬於個人私密資料,應該如何保護,在此例中他們回應的方案是資料加密,這應該在需求確認該被確認的規格需求。

  此外,一般公司行號收集客戶資料,不管透過什麼管道,資料在每一個Lifecycle都應該規劃儲存方式、保護措施、存取控制等,如果市政府已有一套管理規則,這些資料會放錯地方,恐怕在系統規劃時(SA/SD)就出問題,不論是廠商或是市府員工負責規劃,但是執行最後確認必然是市政府的人,是開發標準沒寫清楚?還是確認人員沒去參考開發標準,其實問題很清楚。

  新聞稿中 「廠商忘了加密?」看起來當初規格是有加密需求,但廠商忘了加密?這是在一般軟體開發驗收過程中,必然需要檢視、測試的項目,否則應該不會滿足系統驗收的條件?這部分也許當局可以檢視一下系統驗收程序是否出了問題。

  並非所有系統開發安全規範都可以鉅細靡遺的寫下來,而系統測試也不
見得能徹底的將所有功能都測試到,筆者經驗是,驗證系統正常功能較簡單,困難的是異常功能的測試,因此依賴的是需求提報、系統規劃設計、開發、測試、驗收或上線其過程中執行、覆核人員對於資安議題的「Awareness」,對於文件上沒寫到的,感覺怪怪的,是不是能主動進一步去查證,這些問題應該就能減少,但如果還是不放心,尋求外部「醫生」的協助,例如系統安全分析顧問服務(或滲透測試服務)也是一個可以考量的方案。