https://twcert2024.informationsecurity.com.tw/

觀點

法庭勝訴的關鍵-電子舉證

2009 / 07 / 21
TRENT HENRY 譯 ■ 編輯部
法庭勝訴的關鍵-電子舉證
安全的目的就是要能確保所儲存資料的機密性、完整性及有效性,以應付民事訴訟!這聽起來是否覺得熟悉?

  在永不妥協(Erin Brockovich)這部電影所描述的,就是女主角利用這家被告的公營事業單位粗心放置滿室的紙本資料,為634位原告贏得官司。「資訊」的重要性,在這個例子中有力地獲得證明。

  時至今日,當資訊大量地電子化(ESI,electronically stored information)之後,已經成為新的洪水猛獸,在許多民事官司中,更是勝訴的關鍵。在論辯兩造律師團,都會汲汲於到處搜尋找到對方不利證據。

  在2006年12月,U.S. Federal Rules of Civil Procedure (FRCP)做出新的改變,所有電子化文件擁有與傳統實體文件相同的法律效力,這表示電子文件可能會成為一宗官司的關鍵物證,而且必須交代來源與獲取的過程,因此,這個重任就落在IT人員的身上,不可思議吧!如果沒有將電子化文件的儲存、搜尋到變成關鍵證物的過程詳細列出,也就是所謂e-Discovery的議題,會造成好人入監、壞人縱放的情形,重點就在於資料本身的真確性與可用性,所以也變成資訊安全的熱門議題,當然,在有些案件中,電子資料的機密性也會是關鍵,基於此論點,企業的資安團隊便無法忽視與必須了解e-Discovery的需求與挑戰。

常見的錯誤

  在民事法庭開庭之際,法律團隊開始要決定有哪些種類的證物與本案相關。然後就開始各種探索資訊的需求,如電子郵件、文書檔案、交易記錄或其他可以在法庭上輔助己方觀點的電子化資訊。因此,IT與資安團隊已經開始注意到e-discovery,但是還沒辦法真正駕馭它,經常會犯下一些錯誤,因為她們無法真正了解到這個動作到底要做什麼,真正的需求在哪?另外,在法庭上的論辯陳述也是考倒IT人員的問題。以下是幾個常見的錯誤:

錯誤1

  「假設」,我們一定可以為所有資訊儲存做好最佳的風險管理,實則不然。要妥善保存所有資訊是依各高成本地效益的付出。雖然儲存裝置的費用已經逐年下降,畢竟還不是免費的,要做好ESI儲存的組織必須負擔每年驚人的預算支出。

  雖然不見得所有的資訊保存都需要花很多錢,而且法庭上也沒有期望每個案件都遵循這樣的保存條件,在正常的商業流程中,資訊最後的狀態就是會被銷毀。不過重要的關鍵資訊則必須考慮其保存或銷毀的抉擇政策問題,還有跨組織保持資料一致性和連續性的議題,很可能因為資料被銷毀、或案件相關的資訊無法在同樣水準中被保留,可能會造成訴訟中止或敗訴。這可是個嚴重的問題。

  另外,過度地保留資訊反而會造成其他新的風險,這應該是被避免的。保存所有未經定義的舊資訊是很不理智的,企業很可能因為找不到案件相關的資訊,但是卻搜索到足以另外開一案調查的資訊,當這些資訊退役(銷毀),就可以永久保持其機密性。這似乎是各道德問題,雖然沒有任何法律顧問會要求你把相關資料銷毀,商業文件都應該有他的生命週期,該關檔時就應終結資訊。以下有一些建議:

(1) 有哪些外在的必要需求,讓企業必須持續保存哪些資訊?其中可能包含法規需求、調查而不只是法律案件。

(2) 哪些是未來可能會遭遇到的挑戰?例如對於資訊銷毀的法規要求,或者是誰可以合法持有這些資訊,這是未來法規團隊必須面臨的議題之一。

錯誤2

  把所有資訊大量地集中儲存可以確保快速地找到它們。雖然這樣做可以減少各儲存地點與裝置的數量,但是建立一個超級的儲存區,是不可行且不合常理的。任何一個要做 e-discovery的團隊必須注意,多項資料來源、多種技術並行,可能才是最佳的解決方式。企業必須有不同的技術或方案去符合各種規範的需求,包含搜尋、對應、分類等。簡單的說,企業要能夠知道哪些資料存放於何處,用最短的時間去找出來,還要可以維持資料在最新的狀態。

錯誤3

  認為e-discovery的問題只跟電子郵件有關。這個想法的來源都要怪錯誤的廠商在不適當的時間講了不適當的簡報,以及媒體報告的錯誤引導。當然,電子郵件對於法律證據的拼湊是非常有用的來源,但是絕非全部。要保存的資料非常多,企業絕對不能只針對電子郵件當作e-discovery的範疇。適當地管理電子郵件是必要的,但不是e-discovery的全部。

乾草堆還是麵條

  資料在商業營運中被使用,是必然的過程,也預期應該可以在需要的時候找到相關資訊。但是,哪一天你必須出庭時,要如何從好幾個乾草堆中找出長的很像的麵條,這可是如同大海撈針。

  有些結構化的資料格式,先天就擁有良好的搜尋機制,像是電子郵件。而安全團隊的挑戰則是像影片檔、事件稽核記錄這一類,可能是非結構化或者資料量超大的來源資訊。然而,對於法庭上抗辯的雙方而言,這是一場公平的遊戲嗎?各種ESI資料型態都要被轉換成不同目的所使用,因為安全或是稽核因素,必須把相關資訊轉換成一些固定格式的儲存方法,並加以標記資料說明,這就構成基本的企業e-discovery雛型。

  對於影音檔案亦同,許多企業選擇永久保存實體安全監控的影片檔案,可能採取錄影帶或者是數位化儲存,當然要在法庭上生效,那就得看長期下來的保存率有多高。

  嚴格來說,在ESI的生命週期中的保存與商業營運程序的關連有絕對的相關性。組織必須清楚地了解到哪些資訊必須被保存、其保存與銷毀的政策,及資料保存的責任鏈(不只是IT人員,業務部門與每個員工都有其義務)。

  同樣地,在法規需求與IT監控各種資料的流動,必須要有很清楚的資訊處理原則,以確保被正確的處置與執行,相關的重要資料不能被銷毀,而IT服務必須能夠指出哪些資料的位置,當檢察官來問話時,這是最好的應對狀況。包含資料是被誰搜集、誰存取或是控制,在儲存與取用時如何做到管理與記錄等。

成熟的模式

  大部分的企業很可能還沒準備好完整的e-discovery配套,哪些工作項目與步驟是完成這任務的關鍵呢?好消息是成本問題已經逐漸不再是個大問題,不過仍然是完成這工作的一個必要參數,因為人工的資料搜尋是非常昂貴與負面的動作,對於企業在法律要求下的應變能力也大打折扣,改變基礎建設與強化自動處理資料保存、定位、搜尋及產出電子化證據的工作是必要的步驟。

  一般而言, 一個完整進化的組織, 會將e-discovery的工作整合進資訊生命週期管理(ILM),舉例來說,在資料創造的階段,資料就會被加上一個標籤(tag),協助此資料在內容與政策上的對應關係,可能會貼上「專案:某某公司」 最後更新時間:某年某月、資料擁有者:製造部門,這類的資訊可以協助此資料在往後的生命週期中更容易被自動化處理,當資料被儲存時,相關工具就可以提供其儲存的位置、政策、與其它相關資訊。當檢察官詢問,「某公司的資料在哪??」就可以取相關資料的清單與歷史記錄。

  同樣地,資料還可做壓縮歸檔,也可以做重複資料刪除(de-duplicated),讓相同的資料只留一份,把敏感與商務秘密進行適當的加密保護,直到有需要的時候才能被解密使用。

  一個很有趣的問題點,我們究竟該在員工電腦上做到哪些事?資訊生命週期中資料在各用戶手上創造出來,在不同的獨立系統與行動裝置上,造成這個棘手的問題。這邊有2個參考作法,透過法律諮詢了解ESI在法規上的需求,訂定組織對於資訊保存的規則與政策。第2,評估與佈署在用戶端的附加控制方法,可能是用戶端的政策落實工具,或者文件內容感應的小程式、監控與版權管理方案。但是一定要透過不定期與適當的稽核來達到偵測與嚇阻的效果。當然,任何新技術方案的導入都要有用戶教育訓練的支持,建立清楚易懂的政策與程序,以及聽聽用戶的真實心聲。

方案需求分析

  雖然此類方案的供應廠商可以提供對於e-discovery需求的對應方案,但是還不足以引領整個浪潮。許多組織在資訊不完全的狀態下,透過廠商的高價服務來找到法規所需的資料,然而現有IT與儲存的方案其實已經可以很輕易地找到ESI資訊與產出報表。還有保護ESI本身的完整性或真確性也是相當重要的議題,可以藉由防惡軟體方案、防火牆等提供保障。相關的功能需求應該包含:

完整的e-discovery與資訊生命週期規劃

  這類的廠商提供「一站購足」的功能,指出重要資料的儲存地點,幫助追蹤法律相關的工作流程,提供法規所需的文件與確保重要資料的複製數量。嚴格來說,大部分的產品可以涵蓋電子郵件的歸檔備份、內容管理或電腦鑑識,也許不全然是E-Discovery的需求,相關廠商如:PSS Systems 與 Iron Mountain的Stratify部門。

儲存營運資訊

  提供重要商業營運記錄的儲存與管理、網頁內容、電子郵件歸檔、檔案系統(本地、儲存區域網路、區域網路)等,對於安全團隊而言,沒有一個真正可以一次搞定所有威脅管理與法規需求的產品,有些第2階儲存的功能還會影響資訊保存與產能,像是IT系統的Log資料就是商業營運的資料檢索標的之一,透過資料關聯與部份電子郵件或交易記錄交叉比對,可以透過網管或安全資訊管理(SIM)達到此功能需求。

清楚的儲存位置資訊

  分類工具可以協助位資訊上標籤,然後包含其儲存位置以提供未來檢索搜尋時的速率,雖然資料分類工具還很少直接用在E-discovery用途上,不過其應用範圍夠廣可以直接套用。像是EMC的InfoScape、StoredIQ等可以提供搜尋、內容檢索、桌面網頁與企業搜尋及分類管理(taxonomy-management)工具。

資訊的轉換

  E-discovery的規則會因為不同的需求而必須將資訊轉換成為不同的格式,而非其原始來源的資料格式,很難事先知道每一個案件中所需的資訊表達方式與資料格式,很少有工具可以通吃所有格式,通常是轉換成檔案再進行格式交換,提供不同案件的客制化轉換工具。

跨部門溝通是關鍵

  在E-discovery中最重要的關鍵在於開放與法務人員的溝通管道,讓雙方都可了解e-discovery的目的與需求步驟,但通常這是最難的工作,在IT與法務部門間的拉鋸戰會讓雙方產生質疑與過度的保護心態。

  舉例來說,法務人員可能會要求很貴、需要大量資源的資訊保存與檢索系統,但是卻要燒掉IT部門的預算,另外就是法務部門會認為這是件小事,常常在最後才把需要大量工作密集的任務交代出來,這樣的狀況需要更好的關係處理及商業管理手段與遠見來平衡需求與供給雙方的失衡關係。

  發展內部領導團隊是聰明的決策,大型企業中要進行E-discovery需要指派或設立一個新的高階角色,至少可以管到全公司IT與法務部門的協調、溝通管理作業上的問題與e-discovery專案進度的追蹤。

  Prudent technology改變了這個供需狀態,企業是不該存放所有的資訊,這樣的成本太高而且風險太大,他們需要自動化的分類儲存系統,告訴你哪些資料需要被儲存,貼上機敏資訊標籤以及轉換成為法務部門所需的資料格式。主事者必須先尋求政策強化支援,以及慎選科技方案,組織可以漸進式地改善e-discovery的應變能力,讓法務部門與安全部門共同定義出合適的資訊生命週期是成功的關鍵,而不是在法庭上才匆忙地提出需求且輸掉官司。

多出一雙白手套
電子化的證物不需做太多的「處理」

  企業必須要知道物證管制鏈(chain-of-custody)在安全與鑑識領域扮演的重要地位,證據必須經過戴上手套、用夾子放在證物袋中,換句話說,電子化物證必須能夠證實其防竄改與過多的加工處理,而且有一萬個理由可以在法庭上證明這ESI是無效的。企業不是執法機關,而且通常是涉入民事案件而非刑事案,ESI包含營運記錄資料,要有相對的保存政策,加上正常的IT營運過程,才能夠符合e-discovery的目的。

  U.S. Federal Rules of Evidence 記載資料可以被處理,不代表可以被使用在法庭上,因此企業必須能夠證明這些資料如何被搜集、儲存以及其可靠性,雖然已經能夠證實其真確性,但是還要有存取記錄與稽核資料輔証,確保管理者權限人員無法動到這些資訊,加上數位簽章或加密的演算碼等來驗證。

  與貴公司的法務人員談談,這是個值得討論的議題。請參考微軟高層遭到反托辣斯法調查時,必須供出所有電子郵件,又無法提出任何反竄改的保護機制,因此這些物證在法庭上站不住腳,不過卻成為再三討論的熱門議題。


Trent Henry是Burton Group副總兼研究部主任。