https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

分享一堂價值10億的資安課程

2005 / 11 / 04
陳佳溶
分享一堂價值10億的資安課程

3月23日以生產沙灘車、重型機車、具備全球知名度的鼎力公司,爆發價值十億台幣的機密資料險遭芬蘭籍總工程師潘提拉(Penttila Heikki Juhani)以貨櫃闖關私運到美國,這是一件商業間諜事件,Penttila計劃性地竊取鼎力公司的機密資料,究竟企業應如何防範商業間諜呢?數位資產又要如何保護?最高權限的使用者又要如何管理呢?
本文將剖析鼎力事件,建議企業應如何從資訊安全的管理或技術面著手保護企業的資產,BSI大中國地區訓練經理蒲樹盛表示,一般企業在做資訊安全都是防範外部的攻擊,而忽略企業內部的防範,此事件為典型「合法授權者」違反資訊安全之嚴重實例,正可由事件本身了解企業內部缺乏哪些資訊安全管理。
目前鼎力公司是全球第三大沙灘車生產公司,民國77年成立,以製造機車與引擎起家,4年前停止生產機車,專攻沙灘車製造,其生產的沙灘車適合於泥、沙中奔馳,在民國92年5月耗資兩千餘萬美金,併購美國Cannondale公司旗下沙灘車與重型機車部門,跨足重型機車市場,引發美國產業界關注,從事沙灘車生產十多年,車輛的各種配件從設計開發、生產到組裝一手包辦,主攻歐美市場,成為全球第七家可以生產重機引擎的廠商。
應加強資訊安全管理
由鼎力事件暴露許多資訊安全管理需要加強之部份,從事件本身來看,可知其缺少了下列的資訊安全管理:
1.人員篩審未落實
鼎力併購案後,原任職於美國Cannondale公司主動向該公司表達願意來台協助設計重型機車,由於雙方在美國已見過面,合作案一拍即合,沒想到竟然是商業間諜,蒲樹盛表示,鼎力忽略對外籍總工程師做背景調查,但目前企業都只注重專業能力,而忽略品德、背景,以鼎力事件而言,應考慮其對於資訊安全之風險考量,如:品德、操守、背景…等方面,且芬蘭籍總工程師Penttila將鼎力機密資料以一箱箱裝在四十尺的貨櫃,可推知Penttila以職務之便,而使得公司警衛忽略Penttila運走機件模組具,首先,在選擇人才時就出了問題,事後該公司人員研判Penttila是商業間諜。
2.敏感資訊之鑑別與管制
被竊資料從20餘個紙箱之中找到Cannondale650西西重型機車引擎設計圖、電腦檔案、引擎以及相關機件模組具、引擎實驗參數資料、動力平衡系統資料,如果機密資料闖關成功,該公司恐將損失數十億台幣,更會影響台灣重型機車產業發展,鼎力應評鑑資料敏感等級,編列圖片、資料庫之敏感等級清單,才能給予不同的安全保護措施,因為企業有那麼多重要資產又該防護呢?其方法包括標示、儲存、防護、傳遞、交換規定等,以機密資料而言,很多公司在資料上面標示「機密」,則分區存放,限制人員進出,且絕對不能攜出,甚至不留紙本,以加密技術保護數位資料。
企業首先必須將資產列冊,唯有透過資產鑑別,才可了解企業有哪些重要的資產要保護,其次,再判斷資產價值的高低,資產價值高的,風險大的,企業需要特別的管控,再依其不同的風險給予保護。
3.劃分高安全區域加強防護
3月15日Penttila利用員工旅遊,公司停工之際,不告而別後,鼎力公司立即派員前往他的宿舍,發現他將存放在租屋處的機密資料連同家具、電器一起搬走,調閱各地的路口監視器,發現他在員工旅遊之際,雇用8.8噸貨車將機件模組具從工廠搬到宿舍,顯然是預謀犯案,蒲樹盛表示,在門禁、財產攜出規定部份,倘若鼎力鑑別出資料之敏感等級,應該採取嚴密安全區域來防護,部份企業的安全區域需要兩個人才可進入,此外,警衛必須檢查攜出的東西。
4.安全職責區隔
鼎力機密的資料,有些是在位於大里市總公司電腦檔案、資料庫,也有些直接存放在Penttila的宿舍,他全部運回宿舍裝箱,連同行李打包,一箱箱裝在四十尺貨櫃,企圖出口到美國。
蒲樹盛表示,鼎力必須評估企業重要敏感的資產或人員,有何安全職責再適當地做職責區隔,然而,以鼎力事件而言,Penttila一個人完成機密竊取,則不太可能,因為還有很多瑣碎的事要做,如:報關,其中可能有內神通外鬼,倘若沒有職責區隔,就像理律法律事務所發生的前法務人員劉偉傑在前年涉嫌盜賣客戶股票,監守自盜達到新台幣30億元,被列為10大通緝要犯之一,因此,應加強職責區隔部份。
權限越高的使用者,其權限控管也應越嚴格,因此,應有些制度或機制,去防止權限大的使用者惡意或無意地將敏感資料寄出或帶走,其企業內部可制定相關的安全政策如:機密資料要加密或一定要存放在特別區域,以降低無心之過。
首先必須審查權限的使用,是否需要此權限,其次,必須定期的審查存取權限,因為人員的異動,權限使用會有變更,因此,定期審查權限則很重要。
5.訂定保密協議/安全合約
鼎力在雇用Penttila應與其簽定保密協定,倘若有還可以求償,也具有嚇阻作用,萬一違約時亦有追溯責任,除了一般法律以外,保密協定部份也可做出求償,以減少損失。
6.安全事件之通報
以鼎力事件而言,警衛看到Penttila將機件模組運出時,就應有人通報,但在整個通報機制中,大量資料遺失而無人警覺,所以通報機制則有待建立。
7.建立資料備份
企業應做到資料的備份,Penttila竊取的資料,倘若只有這一批,資料真的遺失、洩漏或毀損,也就無法補救,倘若有做備份,遭竊後之補救機會,也可減低風險。
8.制定公司之安全政策/存取政策
公司應擬定安全政策,規定員工可接觸或存取敏感資料的安全政策,倘若有的話,將可以讓員工了解公司內什麼事可以做,什麼事不能做,如果Penttila違反政策,公司人員就知道該通報。
9.擬定營運持續管理/危機處理
商業間接案發生時,鼎力應有危機處理的程序,眾多的資料顯示鼎力並無危機處理,且在進行資料蒐集的過程,鼎力公司以迴避採訪的方式,不願對此事件做更多的說明,但在資訊安全管理部份,良好的危機處理是持續企業經營之命脈。
10.持續的安全宣導及法令教育
鼎力公司應透過宣導使員工提高安全意識,以處理敏感資料而言,處理敏感資料之後,應有妥善的防護,如桌面保持淨空,或發現同仁行為異常,應有通報的機制,以鼎力事件而言,Penttila應該有一些前置動作,不可能在一天就完成,而且,他潛藏在公司已經1年,因此,倘若鼎力公司有持續宣導安全及法令教育,員工的安全意識將提高,則Penttila則不容易竊取到價值10億的資料。
蒲樹盛說:「在事件發生的過程,其有前因、後果,倘若該公司能事前就重視資訊安全,則此事作發生的機率可降低,我們則用資訊安管理標準來判斷安全事件的問題,標準內則有很多要求,在由要求去判別其是否符合,倘若企業全部都符合,其至少達到一定的安全水準,很多案例都利用此鑑別出來的,鑑別與實際情形也差不多。」
企業組織裡面有很多管控,由於層次及實施的階段不同,依不同階段建議企業在事前預防可做到:人員嚴格篩審、敏感資訊之鑑別與管制、劃分高安全區域加強防護、安全職責區隔、訂定保密協議/安全合約、安全事件之通報、制定公司之安全政策/存取政策、擬定營運持續管理/危機處理、持續的安全宣導及法令教育等;過程需建立監督機制有敏感資訊之鑑別與管制、劃分高安全區域加強防護、安全職責區隔、安全事件之通報等;在事後補救必須訂定保密協議/安全合約、建立資料備份、制定公司之安全政策/存取政策等;事前預防越多,資安事件發生的機率就越少,但大部單位沒有預防,只有事後補救,但最遭的情況是預防及補救措施都沒有,倘若能做到以上的安全建言,則企業則更安全!

工具不是萬能
針對此事件,RSA北區技術顧問黃惠美表示,可使用DRM工具做文件授權的控管,以防由內部員工竊取,其安控管理則非常重要,此外,很多高科技企業禁止使用USB及光碟機等可儲存的設備,配合網路的阻擋軟體,以防止機密資料的外洩,另外,應保留存取權限的稽核資料,雖然Penttila為總工程師,可以開放與他職權相關的權限,不可使用其他的權限,只有專注在那方面的工程師才有使用權限,倘若權限紀錄出現異常時,則需要注意,這乃是針對企業內部的內賊部份。
黃惠美表示,防禦外賊部份,則有很多工具可以協助防禦,但在防禦內賊部份,可以輔助工具有限,且這不是只憑技術、工具就可防範,必須由企業的安全政策、作業流程及管理政策去防範,因為工具畢竟不是萬能!

結語
以鼎力事件而言,可看出其對於資訊安全忽略程度已超乎想像,不過這也正浮現台灣傳統產業對資訊安全不重視的普遍現象,鼎力公司險以10億元的代價學習資訊安全這門昂貴的課程,然而,更多企業應該以此為前車之鑑,加強維護企業內資訊安全!

最高權限的使用者該如何控管?
在鼎力事件中,芬蘭籍總工程師潘提拉(Penttila Heikki Juhani)利用職務之便,竊取該公司的重要資料,因此,最高權限的使用者,要如何管控呢?蒲樹盛表示任何權限的授權,必須遵守僅知原則(need to know),判斷申請者是否需要權限,需要才開放權限,而不是開放使用者所有權限,造成授權氾濫,授權浮濫之後,在管控方面則較困難。
首先,必須審查權限的使用,企業應該要審查使用者是否需要進入保險箱、倉庫、機房,所以,在申請時,審查則必須有依據,不可因為是企業的總經理,就開放所有權限,事實上,總經理是否需要機房的權限呢?給予其機房的門禁卡,門禁卡可能會不小心遺失,造成風險,因此,在審查時就需要依職責開放權限,以減低企業的風險。
其次,必須定期的審查存取權限是否適當,員工當時因職務而申請需要的權限,但經過3~6個月是否仍需要,其中因職務轉變或離職必須重新調整,可將權限的使用名單給相關部門的主管確認;此外,在企業內部轉調職務是很頻繁的情況,但轉調後原有的使用權限未刪除是很常有的事,然而,員工在權限不夠時,都會提出申請,但並不會提出申請刪除權限,因此必須透過定期的審查。
最後,監控部份,包括系統、人員安全及事件的監控,企業內部員工發現有同仁違反安全原則時,則應有安全事件通報機制,其有一定安全制度,企業內的員工則會協助監控而不會違反,因此,安全事件通報機制則也很重要的。