新版個人資料保護法通過三讀後也已經半年有餘了,雖然施行細則仍遲遲沒有下文,但各家資安廠商卻早已磨刀霍霍,馬不停蹄地舉辦各種個資保護研討會,期待在個資保護市場上大顯身手。
從企業IT的角度來看,新版個人資料保護法其實有許多執行上的困難與盲點,其中最讓人感到棘手的大概就是舉證責任的定義了,由於我們過去所學習到的舉證方式多半是舉證犯罪或受害的事實,但新版個資法所要求的卻是作無過失責任舉證,要求企業需舉證自己已經「採行適當安全措施防止個人資料被竊取、竄改、毀損、滅失或洩漏」。
從字面上來看好像輕鬆了許多,企業只要證明自己沒有過失就行了,但在實務上卻恰恰相反,這種沒有明確範圍的無過失責任舉證將整個舉證的範圍拉得太大、太籠統了,幾乎沒有一個可遵循的標準,所有可能被要求舉證的點,未來企業可能都得要有所準備,否則只要一個關鍵點無法提出舉證證明本身沒有過失,都可能對企業造成嚴重影響,甚至是受到處分。
我想大概也是因為舉證責任的驟變,才間接導致這幾年一堆產品都可以硬扯上個資法跟資安議題,在市場上大推特推的一個重要原因吧!
產品通通硬扯個資法 預算該怎麼花才不失算?
筆者身為一位與資安預算息息相關的IT人員,便時常被邀請去參加研討會。可惜的是在密集參與這類型研討會後,發現了一個共通的問題點,就是多只從產品的角度出發,來決定這些產品在個資法中能扮演什麼樣的角色,而缺乏從企業IT的整體角度來思考企業本身迫切需要的是哪些層面的防護,當缺乏通盤資安觀念的IT人員接收到這些片面的資訊之後,自然很容易陷入片面防禦的迷思,而很容易對自己的需求產生混淆!
當然,如果資安預算充足的話,設備的採購與補強的確能夠為企業帶來一定程度的防護效益,但如果因此把IT環境搞得太過複雜的話,反而可能成為一個潛藏的安全性弱點。如果能夠用較宏觀的角度來適當配置防護設備的話,的確能夠為企業帶來許多安全效益,但如果企業只是為了規避個資法的處分,而不斷地耗費成本,導入自己不見得需要的資安設備與服務,實際帶來的效益恐怕十分有限,甚至對重要的IT預算產生了排擠效應而造成反效果。
至於市面上琳琅滿目的個資防護相關產品,我們當然尊重廠商推銷產品的權利,但也請體諒我們也有IT預算的壓力,所以如何找出適用的產品,就是一門學問了,底下有幾項是推動資安工作時,時常必須考量的幾個點:
資安服務-
1. 資安驗證:
由於個資法的舉證責任太過於空泛,缺乏一個明確可依循的標準,所以整合性較高的資安標準驗證會是一個不錯的選擇,不管是全球性的ISMS-ISO 27001與PCI-DSS等驗證標準,或是未來可能通過的個人資料保護管理制度,都有可能成為企業在茫然個資法中的一盞明燈。
當然通過驗證並不代表就不會發生資料外洩的事件,但IT同仁在制度導入的過程中,其實也可以跟著審視自己有哪些地方沒做到或沒做好,對有心做好個資保護卻不知從何下手的企業而言,資安驗證的導入的確是個有效的輔助方法。即便是一開始就抱持著「為驗證而驗證」心態的企業(目前顯然很多…),至少也可以逼迫本身達到一定的安全水準,不致於擺爛的太過誇張。
2. 資安委外服務:
由於台灣是以中小企業為主體的經濟體系,對數量龐大的中小企業而言,有時候不是不願意做好資安,而是本身根本就沒達到那個規模經濟,要求這些中小企業大舉投資昂貴的資安設備與複雜的管理制度,除了不符合經濟效益外,實在也是力有未逮。當然中小企業也不該以此作為捨棄個資保護責任的藉口,而可以試著尋求其他更符合經濟效益的防護方案。
尤其在未來雲端環境更趨成熟之後,資安委外服務的選擇性與品質相信也會跟著大幅提昇。當然許多人可能會質疑雲端環境的安全性與私密性問題,但對於這類長期以來,缺乏資源導致幾無資安防護能力可言的企業來說,至少已經獲得一定程度的安全提昇。
3. 資安檢測:
對很多企業而言,導入資安的困難點在於缺乏威脅的認知,許多企業根本不知道自己面對的威脅在哪,只是不斷地接受來自外部廠商的資訊,年復一年的編列預算採購被灌輸認為需要的資安設備,而缺乏了整體防禦能力的有效檢視。這時候,尋求專業資安廠商作個資安檢測,將能夠快速有效地找出企業本身迫切需要解決的安全問題點,再對症下藥找尋對應的解決方案,也可以有效避免在資安防護上的「重工」成本。
資安檢測在實務上很常碰到的問題是同仁的反彈與不配合,深怕自己負責的系統被找出安全性問題而影響考績,而在執行資安檢測時各種取巧的方式來躲避檢測(例如:故意安排系統下線維護或刻意阻擋測試來源IP)。這時候就需要內部制度的配合與宣導,調整心態,將資安檢測當做是一種健康檢查,是幫助同仁找出問題並設法解決,而別讓資安檢測成為找同仁碴的手段,當然請更不要將資安檢測結果與考績掛勾,否則很容易讓資安檢測成為浪費資源的一場鬧劇。
資安設備-
4. 防禦設備:
防禦設備當然也是必須的,但市面上的資安設備琳琅滿目,在資源有限的情況下,要導入哪些資安設備是一門很複雜的學問。即使單位預算充足,可以允許IT人員任性地採購所有想買的設備,也不代表這樣就是安全,事實上,疊床架屋的防禦架構除了可能會影響服務的效能與可用性外,往往也讓駭客有了更多的攻擊選擇。
有許多IT人員也常抱持著一個苟且的心態,認為自己就是不懂資安,所以才要借助資安設備來補強對於網路攻擊的抵禦能力,卻忽略了資安設備本身也可能有安全性問題,如果採用了具有嚴重資安弱點的資安設備或作了錯誤的安全配置,反而像是在防禦體系上敲開了一個洞,為攻擊者多開了一道門。
其實就像球賽一樣,除了各守備位置的配置外,也該有正確的防守佈陣,如果只是死板地在每個守備位置擺上一個對應的設備,而不懂得靈活運用搭配的話,將很難發揮資安防禦的綜效。
5. 使用者行為控管:
使用者當然也是可能造成資料外洩的主要來源之一,偏偏人的問題又是最難以有效管控的。雖然坊間有許多產品都號稱能夠有效監控或阻擋即時通訊軟體與社群網站,但經過實測後,部分產品終究只能達到「號稱阻擋」的程度而已,也有些產品雖然可以利用很暴力的方式阻擋,但同時也會被迫犧牲掉一些網路的便利性,建議有導入需求的單位務必根據自身的需求自備腳本進行測試,避免購入了不符合自身需求的產品。
使用者行為控管最大的問題點還是在於導入的陣痛期通常不短,但隨著行動通訊的快速發展,也衍生了越來越多管控不到的死角,投入的資源與獲得的效益往往不成比例。
6. 電腦鑑識:
最後我們再來看看過去長期被冷落的電腦鑑識部分,很遺憾地,在新版個資法通過後,對企業IT而言電腦鑑識依舊是個不討喜的領域。根據維基百科的定義,電腦鑑識的概念源自電腦/網絡保安與及刑事偵查,主要是用作調查電腦犯罪時,尋找相關證據或是用來證明損害的證據。過去我們在做數位證據蒐證的時候,多是以蒐集與保存完整電腦犯罪相關的實體或邏輯證據為主,但現行個資法卻變成了必須提出反證來證明企業已經盡了妥善保管的責任。
而現今市面上主流的數位鑑識工具,多半還是用來證明我出事了,並據以提供攻擊者的攻擊軌跡與證據,這對企業而言實在是無法提供太大的幫助。加上電腦鑑識需求的技術門檻頗高,對一般企業而言,很難有足夠的資源培養專門的電腦鑑識人員來處理發生頻率相對較低的資安事故。
當然不可否認的,電腦鑑識在電腦犯罪偵查上還是有很大的幫助的,只是對於被要求作無過失責任舉證的企業而言,並不需要一個能夠證明自己真的出事了的產品,所以自然很難在個資法的要求下有效發揮它的實際價值。
缺乏優質資安人力支援
除了資安產品與服務以外,在面臨個資法的挑戰中,其實還有一個很關鍵卻常被忽略的環節「優質的資安人力」。因應個資法通過而短期內暴增的資安需求,市場上是否有足夠的資安人力來消化,就目前的實務經驗而言,答案恐怕是否定的。
服務提供商的第一線技術人員由於工作量繁重與待遇問題,普遍有素質良莠不齊與流動率過高的問題,加上臺灣長期以來對技術人員的缺乏重視,導致許多優秀的資安技術人員往往在磨個幾年後,便轉任業務或管理性質的工作以換取較優渥的報酬,造成實際執行資安服務的技術人員不是缺乏經驗就是工作量負荷過重,嚴重影響資安服務的品質。
當然企業本身也有類似問題,由於過去長期忽略資訊安全,多數企業缺乏專責的資安部門與人員,大多仍是以兼任的方式執行公司內部的資安任務,在資安防禦上也過於依賴廠商提供的服務,一旦廠商提供的服務品質受到影響的時候,連帶也可能會波及到企業的資安品質。加上許多企業對於資安仍舊停留在有責無賞的觀念,無法給予資安人員足夠的彈性與空間,導致許多優秀的技術人員對內部的資安任務避之惟恐不及,也間接導致內部資安作業的延宕。
資安建設漫長路 樽節支出慢慢花
資訊安全建設是條漫長的路,有許多的防護層面與資源投入都是需要長期耕耘的,個人資料保護法的通過固然有助於短期內迫使企業不得不落實資安政策,但若遲遲無法有個明確可遵循的施行細則出來,讓企業無法有明確的資安佈局方向,恐怕只會造成企業更多不必要的負擔,對整體資安環境的提昇也非益事。
上述針對一些推動資安工作的討論,提出幾個需要思考的點,尤其中小企業無論在預算或是人力上都更顯不足,因此更應該在各種設備或服務之間作好必要的選擇,避免真正的需求被各種廠商的個資法噱頭給蒙蔽了。