個人資料保護法在去年4月通過後,強調企業組織與負責人需負舉證責任與高達兩億元的賠償上限,讓國內企業不得不注意與重視個人資料保護法實施後可能造成的影響與衝擊,也讓企業對於資料保護的重要性重新審思與重視。引起各界一陣嘩然,高達新台幣二億元的賠償上限與強調企業組織需負舉證責任的規範內容,讓許多企業不得不開始關注這部法案,並開始重視訊息保全的概念。
在個人資料保護法通過之後,實行細節預計於 2011 年 11 月 25 公布,最快 2012 年就會開始實施,新版個人資料保護法試用的對象將涵蓋了所有類型的組織與企業,面臨這即將到來的個人資料保護法,企業是否做到了完善的應對,降低因個資法造成的影響與衝擊,便是最重要的議題。
大家注意!個人資料保護全面化
在過去的「電腦處理個人資料保護法」中第一條:為規範電腦處理個人資料,以避免人格權受侵害,並促進個人資料之合理利用,特製定本法。修改過後的「個人資料保護法」第一條:為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合法利用,特製定本法。
從新版個人資料保護法的改變可以看到資料保護的目標將更全面化,同時保護適用的產業限制同時也予以『破除』,僅有公務機關與非公務機關之分別,未來個資法適用範圍將不再侷限於電腦處理的個人資料保護或特定行業別,並且將刑責與罰則大幅提升。
員工、老闆要小心!連帶責任罰則
新版個人資料保護法規定,資料保護不只是 MIS 資訊人員的事!當企業違法使用個人資料造成當事人損失,除賠償當事人外,經手個人資料的員工也要面臨2年刑期或20萬元以下罰金,若是故意違法利用個人資料來營利,刑期更是加重到5年以下有期徒刑,或併科罰金1百萬元。如果企業負責人(代表人、管理人或其他有代表權人)未能證明已盡防止義務,主管機關亦處以「罰鍰」來處罰企業負責人。
公司要努力!企業需負舉證責任
當個人資料外洩情形發生時,過往需由當事人提出資料遭外洩之證據,而新版個資法要求企業或單位必須要舉證說明無過失或無故意違反法律。所以各種告知義務、取當事人同意、回應當事人請求與企業個人資料安全控管等各項遵循個資法的行為,企業都必須留存完整之證據作為事後舉證之用。企業應採取有效的方法保護及管理個人資料,使其成為得以證明企業已盡善良管理之責。
桓基科技 HGiga PowerWAF 與 MailSherlock 企業防外洩最佳閘道守護神
PowerWAF 網站伺服器防火牆
世界最大漢堡連鎖店麥當勞公司,日前存放在一家電子郵件資料庫管理公司的資料庫遭駭客入侵,遺失顧客的電子郵件和生日等資料。雖然麥當勞說,這次破壞安全的事件未涉及社會安全號碼、信用卡帳號或敏感的財務資訊,但對於客戶隱私資料的曝光及企業整體形象所帶來的損害,都是無法彌補的重大傷害。( 詳細資料:http://tw.news.yahoo.com/article/url/d/a/101214/16/2izue.html )
上述事件顯然的是,企業的網站程式發生漏洞,讓駭客得以繞過企業閘道的防火牆及入侵防禦系統,輕易的進入企業內網,引發各項攻擊行為,進而伺機竊取企業寶貴的資料庫。類似麥當勞此次的網路攻擊事件已非偶發事件,反而隨著 Web 技術應用的普及成為欲來愈頻繁的網路攻擊事件。
為防制上述網路攻擊手法,目前企業已意識到傳統防火牆的不足,並在防火牆之前架起網站防火牆以有效阻擋此類型的攻擊事件。然而令人深思的是,外洩的管道不只僅僅來自外部的入侵攻擊,根據統計高達 80% 的資料外洩來自於內部人員的行為,整體而言,防止資料外洩,企業必須面面俱到,多一份防護,企業就少一損害發生的危險。
桓基科技 HGiga PowerWAF 國內首套自行研發之網頁應用程式防火牆,能針對瀏覽行為與網頁回應紀錄,作為補強傳統防火牆不足之深層防禦機制;達到有效防範機密資料被盜取風險。
隨著駭客攻擊手法的改變,已經無法僅以單純之防火牆或傳統 IDS/IPS 來確保。PowerWAF 是一套可以彈性佈署在 Web Server 前端的網站應用程式防火牆,具備正向和負向雙模行為檢視篩選動態學習功能,可以分析使用者的操作流程,並判斷是否存在可疑的攻擊行為,協助機關阻擋針對網站應用程式的各種攻擊,提供 Web 網頁更安全的防護機制。
MailSherlock 備份稽核系統
根據Ponemon Institute研究報告指出,企業主要的資料外洩媒體,第二、三名分別為公司電子郵件與網際網路電子郵件,而根據 Emedia 公司調查顯示,大約有 74% 的郵件安全事件是由於內部人員將機密資訊在沒有適當保護的情況下發送到了公司的外部,這也已引發企業重大的損失,因此長年雄踞網際網路應用前三名的電子郵件,儼然成為現今個人資料外洩的主因,企業不可忽視的的稽核重點之一。
桓基科技 HGiga MailSherlock 郵件安全解決方案,可替企業打造完整的事前與事後郵件稽核功能,事前稽核可以依照企業的需求設置不同的郵件規則政策,如信件內容、寄送行為,當符合設定的規則時,所屬的長官或管理人員就會收到信件提醒告知,在郵件傳輸的第一時間即可做到即時的監控與警示,如此的內容與行為過濾,避免不肖員工將內容機密外流,即時保護公司智慧財產。
系統並依照客戶的建置需求,可以提供多種備份機制,針對不同的公司組織架構,可以針對內對外、外對內、甚至內對內都做到全方位完整,便於日後稽核查詢,此也因應各種行業的法規需求,如國際性的沙賓法案、國內剛通過的個人資料保護法,都會對個人與企業資料的安全保密有更直接與完整的資訊保護需求。
桓基科技總經理江衍源表示:「企業對資訊化的依賴程度已滲透到企業營運的每一個環節,因此資料外洩的威脅將有增無減,而現階段資訊安全的重心,不再侷限於系統本身的安全,而應該更多地關注在資料的安全」
桓基科技協理陳豪欽強調:「在面對個資法的強烈抨擊下,桓基科技MailSherlock可依公司政策量身打造各項郵件稽核規格,並在事前、事後審查確保機密不外洩;完整郵件歸檔機制,降低郵件的管理風險」。對於管理人員來說, MailSherlock 可同時並大幅降低管理的成本與困難,簡易的圖形化介面,方便遠端管理提供安全的帳號管理機制,使用者須輸入帳號密碼登入 Web-based 管理介面。同時模組化的設計,企業可以依照需求加值整合 Anti-Virus 與Anti-Spam更近一步提供一系列完整的的防護、管理、備份的資訊安全機制。