近來資訊從業人員有個新議題持續的發酵,沸沸揚揚吵了好幾年的個人資料保護法終於(突然?)於4/27快速通過,許多企業主乍聽這個消息,都會擔心企業裡面是否有資料外洩被罰款的問題,但究竟台灣的中小企業是否真正理解個資法的要求或內容,甚至進一步了解企業本身是否有其他重要的資料需要保護?本文從簡顯易懂的方式來提醒企業防範資料外洩應注意的重點。
錦囊1:自我盤點企業內有甚麼需要保護?
企業經過一定時間的營運後,一定會有所謂的資料與資訊。以往我們會認為資訊的價值遠遠高過資料,資訊外洩有可能造成企業的巨額損失,資料影響性則相對稍低,導致在防範外洩的措施也大多著重在資訊,保護措施常忽略了一般資料,特別是未經電腦處理的資料保護更為欠缺。
然隨著近年來詐騙事件與外洩事件的頻傳,讓人逐漸了解事實上一般的基本資料若不慎外流,亦會造成相當大的傷害,而個資法的三讀通過版本在罰則上已經有所改變,企業主若疏忽對個人資料的保護,可能會讓企業蒙受高額罰鍰。
若以剛通過的個資法來進行討論,事實上大多數企業(製造業)除了企業本身的僱員資料外,所擁有的「個人資料」並不算多,也極少會有蒐集個人資料的行為;但對於零售業、買賣流通業或是服務業,企業內不但有員工的個人資料,更可能有眾多且龐大的客戶資料,此類企業在營業過程中,會蒐集、處理或利用到大量的客戶資料,是受個資法衝擊影響的相關重點管制產業,必須更慎重面對個資法的要求。
以上不論從因應法令要求或為了營業競爭力的維持來看,都讓人對資料與資訊的保全不得不慎,企業務必要先了解自身所擁有,有哪些是可能外洩並會造成損失的個人資料與營業機密。這部分建議先透過資產盤點找出企業的相關資料與資訊,再進一步討論如何透過控制措施加以保護、防止外洩。
錦囊2:誰該關注個資保護?誰該關注營業機密保護?
近來不只一間企業向筆者詢問個資法通過後企業的對應解決方案,細部了解後企業所擔心外洩的卻是公司的R&D圖檔,由此可知仍有許多企業對資料的認知不夠明確。因此筆者建議企業對個資法的因應,首先還是要先了解「個人資料保護法」所保護的標的物,顧名思義就是「個人資料」。
根據新通過的個資法第二條第一項,個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別個人之資料。另一個值得關注的是,新通過的個資法拿掉了「電腦處理」的字眼,因此企業在面對資料及資訊的保護時,不能一廂情願的只管好電腦系統相關的領域,必須進一步去審視資料與資訊在企業的生命週期,不管是蒐集、處理、利用甚至是最終的銷毀,均需有相對應的保護措施與記錄,以證明企業有善盡資料管理人的責任。
當然對企業來說,除了個資之外,賴以維生的營業機密也不能忽視,為確保企業的永續經營能力與維持競爭力,企業營業機密亦須是要投入資源保護的範圍。台灣企業來說大多的營業機密資訊是屬於設計圖檔、機密配方或廠商與客戶資料等等,若外洩至競爭對手手上,有可能造成企業競爭力降低甚至進而造成企業消滅。因此首先就要了解企業本身所擁有的資料或資訊有哪些,從企業的角度來說,以往所會關注且須要進行保護的資訊大多是屬於營業機密,而在個資法通過之後,除了營業機密之外,需要保護的更是擴大到個人資料。
錦囊3:防止外洩從三角度來準備
要知道只要是資料,不管是在蒐集、處理或利用,都有外洩的可能,用「吃燒餅不可能不會掉芝麻」來比喻,或許是一種略為悲觀卻又貼切的對照,但站在擁有個資或營業機密的企業來說,如何證明自己已善盡保管的責任,就成為責任釐清時相當重要的判斷依據了。
一般資料外洩的管道可能第一個聯想到的都是所謂的駭客,也就是所謂的外來的威脅,但事實上經過調查,大多數的資料外洩來源卻是內部人員!其中包含企業員工、委外人員、離職員工,甚至是知道自己即將離職的員工(在去年的不景氣中屢見不鮮)。因此企業除了必須要了解自身有可能會外洩的資料與資訊外,更需要去辨別出可能外洩的管道與威脅來源,從「資料(訊)生命週期」、「使用與傳遞管道」及「威脅來源」三個角度來檢視,大概就可描繪出企業需面對的外洩問題點。
錦囊4:防制資料外洩琳瑯滿目的解決方案
防制資料外洩(DLP, Data Loss Prevention)在企業或個人重要資訊外洩頻傳的今日,已經被許多高科技產業或金融業列為一定要考量的資訊安全項目,早在2008年IDC就預測,DLP將會是企業的最重要資安需求之一,確實市場上DLP的詢問度也相當高。而面對市場上琳琅滿目的DLP產品,有些廠商乾脆直接把DLP定為產品名稱,企業該如何因應呢?
以DLP產品來說,有一說是須具備內容過濾功能的產品方可稱為DLP,但如此歸類的方式在筆者來看太過於產品技術導向,這部分建議企業以需求的角度來檢視解決方案設計的精神與目的來判斷,若其精神與目的就是為了防止資料外洩,即便產品功能並不包含內容過濾技術,仍大可歸類在DLP解決方案之中(如某些文件加密軟體或使用者端安控軟體),畢竟其目的就是要做到Data Loss Prevention,不須特地從產品技術面去切割。
而不論是否含內容過濾功能,DLP在架構上則大致上可以分為兩種,host based及network based,差別在於其佈署與管制的運用位置是在主機端點上或是網路層面(通常在閘道端),兩者沒有絕對的優缺點,端看企業的資料重要性與實際需求決定。而也有廠商提出要防範資料外洩最好的方法就是從資料本身著手,若能從源頭就進行加密管制方可達到最高的安全要求。此看法立意甚好,不過須注意有加密勢必就會有解密的需求,可能會牽涉到系統資源的消耗,或延遲到讀取的速度,甚至大幅增加資訊系統的複雜程度,因此並非所有的系統或資訊都適用,企業在選擇解決方案時須詳加確認比較,以挑選到最適合的解決方案。
行政院國家資通安全會報技術服務中心將可達到DLP目的的產品進行架構分成4類,分別為檔案保護、週邊保護、網路保護及資料庫保護,檔案保護包含了DRM與及時讀寫加密;週邊保護顧名思義就是包含隨身碟、行動裝置的保全甚至是產生紙本文件的印表機與傳真機等;網路保護包含了即時通訊、電子郵件及封包監控等;資料庫加密就包含了帳號密碼與資料庫加密等等。
參考這四個層面加上市面上的解決方案我們就可以整理出一個DLP解決方案架構,筆者用★的數量來呈現,越多代表導入成本與難度愈高,企業可依據自身資源與現況進行評估,建議中小企業初步先從成本與難度相對較低的解決方案開始,再求逐步依實際需求精進,以避免迷失於產品功能中而投資了不符合成本效益的成本資源。
錦囊5:可供中小企業參考的資訊安全標準規範
經過近幾年政府與資安廠商的推廣,資訊安全管理系統(ISMS, Information Security Management System) ISO 27001:2005已經成為台灣最普遍認同的企業資安認證,台灣通過家數高居全球通過數量第四高的國家,其透過PDCA達到資訊安全的機密性(Confidentiality)、完整性(Integrity)、與可用性(Availability)目的,可大幅提升企業的資訊安全層級。
另外值得參考的是個人資訊管理系統(PIMS, Personal Information Management System)的標準BS 10012:2009,此標準甫於去年由BSI英國標準協會推出,主要標的為個人資訊,與ISO 27001為資訊系統的安全管理有所差異,目的是讓企業對個人資訊的管理能夠有所依據,因此企業內負責發起、實行和維持個人資訊管理系統的人員均可遵循與參考此標準。
BS 10012與ISO 27001相同都是運用PDCA的手法來確保ISMS與PIMS水準的持續提升,善用此兩個標準可讓企業的安全管理涵蓋資訊系統與個人資訊,值得企業加以參考,其他可參考的尚包含日本的個人資料管理制度JIS Q 15001:2006等,亦為保障個人隱私的管理制度,因在國內的能見度較低,在此就不加以敘述。
結論
不論是企業機密資訊或個人資料的保護,從企業主的出發點來看,都是為了能防範未預期的損失以求企業永續經營。至於企業該如何能透過部分的投資以避免資料或資訊的外洩造成企業鉅額損失,確切的做法值得各界從實務及應用面互相觀摩學習與討論,尤其國內資料外洩與詐騙事件的層出不窮,若能多吸取外界經驗,搭配參考相關標準並符合法令法規的要求、資安政策管理、DLP解決方案等多管齊下,方可使企業資料外洩的經驗成本與學習成本降至最低,進而維持企業的永續競爭力。
本文作者為資訊服務廠商資訊安全規劃經理