有位小丑他正在表演同時轉三個盤子,在排練不熟的情況下,小丑被迫緊急登台,兩隻手周旋在三個盤子間,小丑自個兒忙得暈頭轉向、直冒冷汗,深怕砸了其中任一盤子,毀了這場表演!
從10月開始,北半球開始進入冬季,這是流感肆虐的季節。繼SARS之後,H1N1新流感疫情爆發,對全球經濟層面的衝擊不容小覷。各國衛生單位齊聚在香港的世界衛生組織西太平洋區會議,擔憂第二波H1N1流感的到來。根據《世界銀行》統計, H1N1在2009年的經濟成長率帶來-0.7%到-4.8%的影響。而《經濟學人》預估,全球若發生H1N1猛爆,全世界GDP將重創12.6%。
在深入資料外洩的風險管理範疇中,疾病與不可測之因素,理當謹慎評估預防。HINI疫情若讓員工被迫在家上班,企業如何在營運不中斷的情況下又需防止資料外洩?這樣可預想得到的情境,屆時企業可能面臨的窘境就像小丑登台:有位小丑他正在表演同時轉三個盤子,這三個盤子分別代表了:生產力、成本、安全,要如何在同一時間把這三個盤子顧好不讓任一個摔落,這小丑的工夫可得要穩扎穩打!
HIN1疫情爆發就像小丑慌張登台,企業主必須在緊迫的時間下,面對解決無法逃避;企業營運不中斷就像代表生產力的盤;讓員工在家上班要將成本考量進去;防止資料外洩就是安全問題了,至於這個小丑當然就屬企業主本身了。
網路安全
疫情和災難不可能每天都發生,企業營運肯定要不中斷,成本則是越低越好;資料安全則顯得有點防不勝防了。為保障企業與企業間資訊交換環境的安全,從整合資安威脅管理技術的經驗來檢視,單從網路安全來看,臺灣cisco思科新技術事業部業務開發經理張志淵分析,萬一疫情爆發整個辦公室有1/3員工被隔離, VPN的使用率肯定會大幅提高。那就要針對下述兩項評估應用效能:
@4:IP安全協定(Internet Protocol Security,IPsec)
必須要從家裡連到家裡公司配發的NB,在家裡的私人電腦中預先安裝這樣的軟體。IPsec被設計用來提供入口和入口通訊安全,分組通信的安全性由單個節點提供給多台機器,或是端到端分組通訊安全,由作為端點的電腦完成安全操作。
SSL VPN(Secure Socket Layer VPN)
SSL VPN技術有助於企業在發生流行性疾病、地震、颱風與恐怖攻擊等天災人禍時,能維持正常營運。不需要安裝軟體只需要認證,也不一定要用公司的電腦。電腦內安裝軟體可以連上公司的VPN,不用死守一台電腦哪都去不得。在這種情況下,使用戶輸入帳號密碼便能連到公司,若是私人旅行也可隨時隨地連結回到公司網路。假設使用完資料不小心放在該公用電腦,公司重要資訊也不會外洩,當logout時或不正常關機,系統皆會自動刪除剛剛登入的資訊。
員工所使用的終端設備是否安全的?資料傳輸過程是否安全?SSL VPN讓有權責使用資料者的所有操作,都侷限在一個虛擬空間裡,因而無法透過隨身碟、剪貼簿或螢幕拷貝(除了拿相機拍螢幕)等方式竊取企業內部資料。Aaray科技執行長兼總裁趙耀比喻,每家企業就像一間銀行,銀行大門口前都會站著至少一位有嚇阻作用的「保全人員」,保全人員讓每位看起來良善的人走進銀行,但仍舊無法有效降低,每位進銀行的人拿走不屬於他的錢的機會。在對外客戶交易時,右手拿著公司資料,左手和客戶握手,如何在資料與客戶交流中,建立安全交流機制,是企業能否具備競爭力的關鍵原因。
在執行導入資訊防洩的設備時,贊同新科技或新政策導入者和向公司提出抱怨者,若剛好是五比五持平,那就代表此導入企業政策是可行的。使用者經過SSL VPN必須先通過預先認證評估,然後根據現有的網路、網路設備、使用者身份與企業連線政策設定等因素,將其動態對應到適合的連線角色,精確的資源授權步驟可進一步確保使用者確實遵循安全政策。
裝設網頁安全閘道來防止資訊安全一定會造成些許不變,因為裝一堆東西會有告警和讓網路變慢,這時候就要看企業自己量身評估,情願讓公司沒有管理?還是要讓員工忍受少許的不便?張志淵稱,每個企業在這個議題上都要做取捨,1/3的員工不用到公司上班,企業老闆能否接受?在家又要開一個VPN,作業程序會變慢、電腦會變慢,download要等很久,一開始企業和員工整體會經歷不方便的歷程。但若從成本考量,減少員工上班人數,其實也可以省下不少辦公室實體租金的費用。
稽核記錄
能接觸到公司高風險資料的人,若要在家工作電腦就必須經過防資料外洩的管道以確保安全。讓員工在家上班的狀況,可以在公司的控制範圍內,一切都設想妥善周全,就算資料是從公司寫到家裡,也是可以被安全控管。張志淵說,在公用的網際網路上建立一個私人專用的網路,具有保密與認證機制,透過資料的預先加密,只讓擁有解鎖密碼的相關人員能夠通過身分認證與授權,進而讀取資料。
企業亦可以設定登入公司網域,檢測員工端是否有裝防毒軟體,這是屬於NAC(Network Access Control),NAC架構在公司內部,目的是保護公司的內部網路,透過agent過濾員工從家裡連接到電腦的任何可能危險性。若檢測出員工家裡電腦未必安全,就無法連至公司網站。這時又一問題產生,那公司對於員工家用電腦的安全性不也是要稽核考量,肯定會提升公司在安全控管的成本,這也要看企業是否重視此一環節,亦可透過在員工私人電腦端安裝active access,進行程式交換。
台灣的網路覆蓋密度名列世界前茅,殭屍網路(Botnet)的攻擊也是全球第一。張志淵認為Botnet防護也是資料防護必須要考慮到的層面,找出公司到底有哪些電腦有受到這些攻擊,將這些造成資料外洩的漏洞彌補起來很重要。張志淵分析,每筆資料的使用途徑都應被記錄,一般公司有無線網路,可以讓自己員工使用。若有訪客來訪透過該公司無線網路IP對其他公司攻擊,可以順著IP找到攻擊者,透過記錄可找回時間再對照訪客時間,類似案例的發生層出不窮,做好記錄至少可以保護公司存留證據,提供稽核。但各企業重視資安問題態度不一,公司亦可不選擇安裝NAC,透過整合威脅管理產品可連同防火牆、入侵防禦系統(IPS)、內容過濾及其中VPN,將家裡和公司連結成一加密管道,透過此管道來偵測Botnet。
稽核工作依企業組織架構及不同時期,可有不同的工作內容。一般多僅需要確認內部人員是否已遵照內控制度執行相關作業,或注意內控有無未完善之處加以修改。據調查有78%的資料外洩是來自於企業內部竊取或不當使用等人為因素,而人為外洩可以分成兩類:
@4第一類危險型:有權限者蓄意竊取敏感資料時
若有竊取行為可採取立即封鎖該行為,並記錄將之記錄:寫出管道、使用電腦、登入帳號和位置及違規時間。並可強迫要求控管輸入密碼加密達成離開控管後的保護。針對終端電腦,定期進行掃描,避免有心人士將敏感資料蒐集存放。
第二類無知型:不慎或粗心寫出時
當個人出現異常存取資料的行為,稽核軟體便發出一個警告。終端點告警教育使用者並且同時記錄行為,追查這些log是否為大量寫出。
H1N1疫情擴散導致員工被迫在家上班,為防止企業內部因素導致機密外洩的風險管理,若從人事法規與軟硬體系統預防檢視,趨勢資深技術顧問戴燊將資料外洩從兩個角度來分析,一個是對資料本身,一個是對人。
從資料分級到數位版權管理(DRM,Digital rights management)這些防範措施是針對保護文件本身。一個企業體依據公司內部資料的類型、重要性,進行分類並依據分類的結果建立公司內部資料儲存、處理、控管的流程。之後再做檔案或設計圖加密碼,就像金庫內每個分類資料箱外頭都設置一個密碼鎖,密碼鎖保護每個資料箱內的資料只能給擁有密碼的人讀取,這些防範措施是保護文件本身。每個公司會因內部資料的控管模式不同,在記錄竊取資訊行為上的規劃考量不太一樣。例如:金融保險業較重視客戶個資、生技研發產業較重視研發技術等。
對人的部份就和遠端連線無關,企業必須先規劃出,接觸風險性高的人和什麼樣的資料是敏感性的資料進而制定政策。如果僅是行政人員如助理,公司要考慮是否需要讓他遠端上網,控管員工由遠端透過VPN連接到公司就僅能存取一部份資料,考量ROI,沒法讓每一個人都能用最高等級被對待,所以做員工群組分類顯得相對重要。利用VPN網路傳輸可減低駭客入侵的機率,但很多公司擔心資料外洩,本身對自己內部資產的敏感性分類卻都沒有做「到位」。
因此,無論是保護資料或是防人意圖與行為,防範所採用的工具必須切中要點。
戴燊認為,其實應首重使用者在使用電腦時是否被公司管制,當這些問題出現,要先了解會遇到怎樣的人,做人與事的分類。存底記錄的概念易懂,但哪些記錄需要被存取以備他日稽核,有下述三個方向做延伸思考預防:
@4必須考量公司敏感資料在哪些地方。
企業自己要先知道企業本身重要資料在哪些地方。
什麼樣的人會接觸到這些資料。
搞清楚哪些有人有權限可以碰觸這些資料。
稽核員工有做過哪些事。
企業內部軟硬體政策宣告和執行,讓員工清楚知道,本身是接觸這類敏感資料的人。
電腦能否辨識考量權限。
存取機密資料的人有哪些?設定存取的時間記錄。較細項的設定使資料流通的管道能被清楚記錄。
上述幾個步驟做到之後,才可以確實存留稽核記錄,戴燊表示,單就資料外洩的角度來看,不小心和刻意是一樣的事,員工並不會在家上班資料外洩的風險就變高,就算讓員工在家和在公司ㄧ樣受到控管,員工端和公司端的電腦安全性都應該要一併規劃。這類的案例跨國性的企業早就開始執行,台灣由因中小企業過去沒有這樣的需求,但未來天災疫情等不可測因素,皆迫使這類問題都應該被重視。
預先防範
審慎了解資料外洩的問題,就要知道台灣因為個資法修正案尚未通過,各企業尚在觀望,相關罰責並沒有很清楚規範,皆影響企業在管理層是否願意主動規範的意願。緊急應變是屬於前導作業,需要全盤的考量。若企業只是暫時佈署VPN或者尚在試用階段,一旦緊急事件發生,試用版防範層級將不堪負荷。
大家一想到資訊安全防護容易錯估以為要先導入防毒,但其實不是。防制資料外洩和防毒的角度不一樣,防毒是不能漏掉任何一個可能性的東西,而防制資料外洩是一種行為、疑慮,它也許是不小心,也有可能是刻意。往往企業在安裝防制資料外洩的設備時,企業老闆不會讓員工知道。因為,如果你是正常的使用者,你做了某些可疑性行為,頂多這樣有疑慮的行為被log下來,但不代表你有竊取資料意圖,有可能你只是粗心或不小心。但很少企業會告訴員工有做防止內部員工竊取資料外洩的防範,因為一旦告知,也難免是在變相的促使,「有意圖和目的的內部竊取者」用更極端的手法,竊取企業內部資料。
在擔心任何突發狀況的爆發導致商譽受損,或是使公司無法正常營運或機密資料被偷。這三個盤子要怎麼轉,要怎麼轉也要看盤子的質地。企業遇到此議題,應該要做哪些評估,會因各產業有不同的需求和步驟。但毫無疑慮的是,在家上班而使用到的遠端存取技術在未來是一大趨勢,尤其像H1N1這種不可預知的疫情,企業便需要一個預先防範的作法。
(box)
企業做預先防範規劃時,會因商業模式的不同和產業不同,導致營運思維和策略的改變。但普遍都會考量到以下層面:
1. 職前教育。
2. 清楚告訴員工智慧資產的重要性。
3. 客戶資料外洩造成企業商譽損壞。
4. 注意每個員工是否都聽得懂你在講什麼。
5. 資安教育訓練。
6. 資料移動外洩對企業和個人所造成的影響。
7. 企業政策宣告,明定問題與權責。
緊急應變措施
由於社會總體行為改變,遠端存取被企業普遍應用於公司重要機密資料管理的使用,企業與員工之間的健全默契,在商業模式、營運思維、策略手段三個角度中,都應有ROI評估。張志淵分析,多數企業主都想要讓員工精簡化,人數越來越少但要每個人的產值越來越高。就算一位老闆逼員工24小時都在工作確實提升生產力,但透過無線網路讓企業資料在移動時,相關可能碰到的緊急風險,若沒有被算在ROI內作分析依據,一樣會摔了其中一個盤子!
緊急應變措施必須要有嚴格的工具,預先假設網路上的每個人都是壞人。各個企業環境生態不同,應找出最容易資料外洩的熱點,在突發狀況發生時,採取平衡的機制,讓傷害降到最低。
IBM GTS資訊策略與架構顧問服務產品經理呂立偉分析,從企業管理角度來看,H1N1事件發生,企業讓員工在家上班卻要防止資料外洩,難有所謂的標準處理程序(SOP)。而是必須要在平衡的概念上,選擇如何做好風險管理的平衡作法:
第一步:確認資產價值是什麼,衡量的內容包括產品、員工、主管等智慧資產。
第二步:針對資產因災難發生會有何風險,評估風險這就和資訊安全有關了。
第三步:提出配套措施無法完全消失全部的風險,僅能降低風險。
例如從100到50,透過什麼機制可以理解風險程度?這樣的風險管理值企業能不能接受?有哪些潛在的低風險管理機制?
第四步:假若沒法接受該風險值就delete,如果可以承擔的風險,就針對該風險做追蹤與管理。
第五步:緊急應變是針對各企業主做量身的平衡評估,沒有100%的絕對。只有可能在某個情況下提出將整體風險值降至企業可接受,企業在了解有哪些無可避免的低風險之後,有效並有系統了解漏洞在哪?如何解決。
換言之,小丑被迫登台轉三盤的戲碼,還是得歸納在一個平衡機制上。如何讓每場表演完美結束,在在都考驗企業主預先籌備的洞悉力與應變機制的平衡感了!