資安法規的擬定,對安全的提升是否有所助益?從法規是否訂定得當、人員能否重視等角度,或許才能找到明確的答案。
4月30號,維吉尼亞州的處方監控計畫(PMP, Prescription Monitor Program)網頁被人置換,筆者在寫這篇文章的時候,該網頁仍然為離線狀態,整個系統要到調查完畢並且確定安全才會再上線,駭客言明該網站的原始處方資料已經被刪除,並且要求1千萬美元的贖金。這個網站是藥劑師用來檢查藥物有無被濫用,事件發生之後,該單位拒絕發表任何評論。
維吉尼亞醫療部門則告知有關當局已經在進行調查犯罪。
當然我們不能否決這個惡意入侵者是真的想要透過這個事件不法獲利,但是以成功拿到贖金的機率來看,感覺起來反而比較像是沽名釣譽的行為。不論目的為何,醫療體系的安全確確實實出現了漏洞。說實在,沒有什麼流程或者系統是完美的,不過事件一再發生(稍早4月的時候柏克萊則發現自去年10月到今年4月,醫療相關的資料庫也遭到駭客入侵),的確該是重新檢討的時候,並不只是對於醫療體系,而是幾乎每個月我們都能看到大大小小的資料外洩事件,當中有多少已經在相關資安法令的規定底下運作了, 問題卻還是發生,我們不禁要問,是法規的問題,還是人性天生就是沒辦法去遵行法規,或是在資安的世界裡,真的是道高一尺魔高一丈?
其實關於醫療保險可攜及責任法(HIPAA,Health Insurance Portability and Accountability Act),兩方面的聲音都不斷有人提出;有人說法規的內容不夠,也有人說規定的太超過。覺得不夠的一方認為該法沒有強制性,認為規定太過分的一方質疑內容太瑣碎,並且讓有需要資料的人無法取得,徒增大家的麻煩。
說個兩邊討好的結論,兩方其實都是對的,太繁瑣、太過複雜,以及一些模稜兩可的部分,可透過大家對法規逐漸熟悉,以及不斷的修正,來一步一步將之合理化。而不足的部分,則提出修正案將這些不夠的地方補足。筆者以為,對於一項重要的資訊有人重視其安全,並且提出法規,總比沒有來的好, 一步一步的將不盡完善的部分改進,符合實際的需求,而不是一直紙上談兵卻不實際化。
關於這次問題的檢討 其實以這次事件來看HIPAA,著眼點除了到底怎麼發生之外,很多還有關於通報的部分。雖然HIPAA本身並沒有要求對於資料被入侵的受害者通知,但是最近對於醫療資料隱私以及資訊的經濟刺激政策追加法案(註1),卻已經規定了當類似事件發生的時候必須對於病人進行通告。沒錯,光聽到經濟刺激政策幾個字就知道這是相當新的規定,可能維吉尼亞醫療相關單位也覺得很倒楣,但是在這個部分很明顯地我們看到了兩個重點: 1.很多法規相關部分還在改變,而並不是每一個單位都能跟得上的;2.HIPAA本身沒有執行力,也就是罰則,起碼目前我們還沒看到。
至於到底如何被入侵的,我猜想,短期之間是無法得知關於這次資料外洩的事件的更多細節了,因為調查仍然進行中,就算有新的發現,也不見得會公佈給大眾知道。
但是感覺起來這個單位對於資訊安全的重視有限,應該做到的東西到底有沒有做到,防火牆、網頁軟體防火牆有沒有適當的配置與管理,有沒有即時的監控系統,以及完整的備份以及還原策略,因為如果有足夠的重視,當網頁受到攻擊、資料庫有大量的存取等等,應該第一時間就已經有反應的能力了。假設這些前提沒有做足的話, 那麼資安議題不受重視則是最大的問題所在。
另外,在州政府機關體系裡面,醫療專業部門(DHP, Department of Health Professions)是最安全的單位之一,而維吉尼亞資訊技術單位(VITA, Virginia Information Techonology Agency) 也提供該州資訊技術支援, 並且擁有專門的資訊安全團隊, 讓大家不解的部分, 並不是說這些資源都已經善用, 達到一定層級的安全性了,而是雖然無法得知入侵的細節,感覺起來這些該利用的資源並沒有被加以使用,如果是這樣的情況,那麼為何沒有管理決策階層提早重視這一層,讓系統流程的安全性提升到另一個階層,以及為何政府機關的資源沒有好好的被運用整合?
全面綜合的檢討 這次事件固然讓我們心中起了一個大問號,既然HIPAA應該對於醫療資訊的安全以及可用性加以管制,是不是HIPAA出了甚麼問題?不過我也想由這個個案來看看對於安全法規,到底要怎樣做以及如何良好的配合才是更好的。
2個月前五角大廈的國防安全資料也被竊取,並且懷疑是他國的間諜所為。每個月幾乎都有資料外洩的案件發生,這次的案件到目前仍無法確定判斷到底哪裡出了問題,但是我們從這裡出發,去檢討整體我們應該如何才能建立,並且執行有用的一套法則來強化資訊安全。
1.法規應該要周全、合理、實際
HIPAA在一開始的時候就有相當多反對的聲浪,內容過於複雜,讓需要相關資料的人反而無法取得。而像是支付卡產業之資料安全標準(PCIDSS, Payment Card Industry Data Security Standard)在一開始的時候也有一些部分不盡合理,而不斷有新的版本改進來配合實際的需求。
舉例來說,一開始的PCI需求,無線網路需要起碼有WEP的安全配置,但是有過經驗的人都知道,RC4加密的弱點以及公開可用的工具,不出10分鐘就會被破解,這裡雖然關注到了無線網路,但是顯然不夠周全。換個例子,如果法令要求密碼長度必須最短50個字元,我們會看到大家的筆記簿裡面都寫下自己的密碼,或者是把密碼寫在便利貼上貼在電腦螢幕旁邊;又或是一個流程要求20個不同層級的簽名,上述舉例的規定則顯然不夠合理或是實際。因此,一套資訊安全法規的設計周全、內容合理、可實際實行,是成敗與否的重要關鍵。
2.問題在設計,還是執行?
整體來說,HIPAA整個法規來講並沒有什麼大問題,然而該法規是屬於「沒有牙齒」的法規,也就是沒有處罰罰責的法規,自2003年開始至2006年,有73% 的HIPAA 違規案件已經結案,包括了誤觸HIPAA法規並無違規,或者是案件當事人承諾會將錯誤的部分修正(註2)。換句話來說,就是做錯了事以後,小朋友跟爸爸媽媽說「不敢再犯了」,當然任何處罰的目的並不在於處罰本身,而是在於糾正錯誤的行為,然而若是沒有處罰來產生嚇阻的力量,除非今天我們身處完美的烏托邦,否則沒有處罰的法規,能有效執行的機會應該是少之又少。有時候也許法規本身並沒有什麼問題,但是一執行起來就漏洞百出,則是法規的執行部份需要加以改善。
3.遵循法規不等於就安全了
沙賓法案的遵循,公開發行企業每年會有外部稽核師進行年度的檢查,負責PCI安全檢測的網路服務也可定期對支付卡產業提供自動檢查,但是通過稽核不見得就代表安全了,與稽核時間相比,這一次稽核與下一次稽核之間的間隔很長,而這不是法規的細節能夠彌補的空缺,而是整個組織對資訊有多重視,以及有多少執行法規的決心。另外,從以往的經驗,我們看到不管是對於哪方面的組織而相對於哪方面的法規,就算是通過法規規範,不代表就安全了。這些規範定下來,通常都是一個最基本的規定,可以確定的是,沒有任何一個惡意入侵的人,知道要攻擊的對象通過規範就會自動放棄,因此,不是做到通過稽核就可以休息了,目標應該是定在加強全方位全時間的安全,而不是僅僅通過稽核。
結論不要把法規設計的讓人想直接忽略
如果法規太過複雜,太過流於形式,或者是無法達成,可以期待的是大家都會把這些規定有意或者無意忽略,更糟糕的是,大家都知道遊戲規則了,接近稽核的時間大家就照著規矩做,稽核結束大家又恢復到能多方便就多方便的無政府狀態。當然事情很難有完美的做法,安全與方便性幾乎是絕對成反向移動的, 如何取得適合的平衡以及選擇較合適的解決方案是任何一項法規成敗的關鍵。 舉例來說,假設今天某系統的要求是任何閒置的程序必須離線,選擇的方案卻是各個遠端的分店在連結查詢完後就要將終端整個關機,聽來就比讓系統自動檢查閒置的程序關閉來的不切實際的多,而且,在沒有人監控的情況下,可以想見到底真的會有多少人會遵守或者有故意忽略的衝動。
稽核不代表一切, 稽核之間的重要性
同樣的從上面的檢討,我們知道法規是用來幫助我們有更安全更完善的系統,而不是用來通過稽核的。用行車安全來做個比喻,我們開車在路上,遇過一百次紅燈,其中有幾次有警察站在路口(台灣大部分的路口有照相機,比較不一樣的考量)?如果100次裡面只有一次有警察,那難道我們另外99 次都可以忽略紅燈,大剌剌的開過去嗎? 如何成功的在稽核與下一次稽核之間, 完整的保持系統流程的完整性,甚至提高整體的安全性,才是我們面對資訊安全課題的正確態度。
資訊安全的觀念教育仍然是最根本的基礎 從剛剛我們對整體做檢討的部分來看,如果沒有人真的重視資訊安全的課題,一個再好的法規都不可能被好好的執行,大家會追求的是如何在法規的字裏行間通過稽核,只要檢查合格不被處罰即可。防守的一方單單的追求地板高度以通過稽核,而惡意攻擊者則在試著用高過天花板的方式進行攻擊,如果沒有正確的態度,防守與攻擊兩方的差距就會一直存在,甚至不斷的拉大。
大家很了解,除了資訊安全公司或者少數組織,很少有一個公司或者單位會把資訊安全放在第一位,這也是無可厚非,一般正常人都會把企業營運、效率、獲利能力、抑或是盡量便利使用者來作為第一目標,因為一般來說營收的成長、成本的降低、客戶的滿意度,才是整個組織績效的考量。但是今天把系統當成車輛來做比喻,配置一個有時候有用、有時候沒用的煞車,跟要碰運氣才打得開的安全氣囊(甚至沒有安全氣囊),誰敢坐上這輛車?法規是個基本,在基本之上,靠的是高階經營層對資安的體認,並且交付專業,才能去打造一個安全耐撞的資訊系統,並且讓資訊法規發揮該有的真正效力。
註1: http://www.dwt.com/LearningCenter/Advisories?find=65318,ARRA註2: http://www.washingtonpost.com/wp-dyn/content/article/2006/06/04/AR2006060400672.html本文作者為美國PUBLICSTORAGE資深工程師。