個資法施行細則預計2011年11月公告,隨著時間愈來愈接近公告時程,企業間無不討論到底怎麼做才能完全符合個資法的規範而不被罰?從《資安人》前幾期文章的主題,相信大家都能看出一些端倪,像是2010年提到的日誌管理 (Log Management, LM)、防制資料外洩(Data Loss Prevention, DLP)等,這些都是大家第一時間所能想到的解決方案,其目的不外乎就是記錄、預防、通報、舉證,這跟個資法規範涵蓋個資的搜集、處理、及利用的精神,幾乎是完全符合。
企業因應個資法 行為控管及舉證同樣重要
但是,企業對於員工的行為控管是否要做到100%?當中會不會有隱私權的問題?還是基於預算考量只做半套就夠了?很多時候是企業因為被罰覺得痛了,才會引出採購需求,這就跟911事件引發出備份備援產品需求,市場採購突然爆增的意思一樣。
與其控管員工的行為,不如先列出可使用的網路服務、軟體之白名單,讓使用者清楚了解公司對於個資法的應對方式,同時也讓員工認同公司的做法,接下來就是實際上的記錄,將所有進出公司網路,與存放個資相關之主機與資料庫進行存取記錄,之後若遇到疑似重要外洩行為發生時,除了在管理平台即時告警外,也必須讓使用者立即知道他所要執行的動作已經違反個資法,避免個資外洩造成企業的損失。
倘若真的發生外洩事件,除了透過資安解決方案進行通知外(LM、DLP ...etc), 最好能再透過電信公司API,發出即時手機簡訊通報主管,至於通報對象,除了員工上一層主管外,還包括資訊部及法務部的部門主管,以便對此外洩事件進行審核與處罰。
在舉證部份,存放個資的所有設備都得啟動稽核機制,讓所有存取行為皆在記錄中,系統管理與稽核記錄管理需進行分權,避免記錄被變更,此外,事務機器的管理也很重要,但這也是企業比較容易遺漏的部份。大部份文件都是從電腦列印或傳真,因此可以透過DLP進行管制,但如果文件本身已經是實體紙張,就必須透過影印機廠商的解決方案來保存,通常企業為了控管紙張成本,會對員工每月的影印或列印量進行管制,但在個資法正式上路後,還要做的就是將影印或傳真出去的紙本文件進行複本保存,以利未來在舉證時,所提的證據能更完整。
Log集中控管 不可否認性無用化!?
當民眾覺得個人資料被企業外洩而向主管機關舉發時,企業一定要舉證代表自己無過失且已盡一切努力進行個資安全維護計劃及防護措施,以避免觸法,而現在市面上所有事件集中控管的解決方案,或多或少都提及到產品的安全性,或是資料儲存後的不可否認性,但如果真的是內部員工外洩資料,那就不是把責任推到員工身上就好了,因為罰金可以轉嫁,但社會責任可不能轉嫁,尤其企業已投資這麼多安全設備為了舉證及避免觸法,最後卻還是會被告及上法院,企業一定會想:那我幹嘛投資?
目前企業在因應個資法的第一步,通常會導入事件集中設備,將所有事件(含系統事件與資安事件)集中化,以便管理所有事件,而這些設備通常都有一個資料庫來儲存事件記錄,同時會對資料庫進行加密,或是限制其只能透過自方管理工具來檢視,藉此賦予事件記錄的不可否認性,但如果在進入資料庫前,企業就已經發現外洩事件呢?
事件集中設備佈署有二種模式:一種是網路監聽;一種是在各主機端安裝代理程式,各式事件可以先行整理後再往後端設備存放,但這兩個模式都有某種程度上的瑕疵,使用監聽封包的方式,是否有可能出現假冒封包存入後端?各代理程式在接收事件前,有沒有可能將原始事件檔內的異常事件刪除,藉此塑造沒有異常事件的和平環境?
因為代理程式安裝在系統端,可以選擇不要即時接收事件,例如:每10分鐘或1小時才接收一次新增事件,這時就有空窗期(請見下圖)。當企業發生外洩事件,除了先行止血外,還可能刪除異常事件,或是暫停代理程式服務,之後再重新開啟。至於網路監聽模式,由於是即時接收事件,一旦發生異常事件企業一定躲不掉,但還是有規避的方法,企業可以先導至某系統主機,再由代理程式傳入後方存放,之後的方法就如同前面所述。
此外,日前於2011台北國際資安展舉辦的「個資法、政府資安、隱私標章、數位鑑識 聯合座談會」中,法務部科長黃荷婷曾經表示,個資法施行細則內將會訂出12項安全維護事項,其中一項就是設備管理,資訊設備存放著重要個資,通常也是企業內部的核心系統,為了確保各系統的安全性,企業首先想到的就是弱點掃描工具,而這些工具掃描出來的結果也必須被稽核。但這中間就有漏洞,因為這些結果通常會存在資料庫裡,再透過管理工具產生成報表,倘若發現重大弱點,可能要修補漏洞或是透過其他措施來降低風險,此時的影響層面就很大,因為這些資料庫沒有任何的防護或加密,所以只要知道schema,就可以進入資料庫進行修改,讓結果達到100%安全,也可能達成施行細則的做法。
結論
由於事件集中設備相關的解決方案多數都有國際規範背書,具備達成產品安全或事件不可否認性的條件,所以當企業被民眾告發時,依照個資法要求,企業要提出相關證據,這時企業如果先用之前的手法清除異常事件,再加上相關產品又有國際規範為其背書,企業所提供的證據,法官是否要採信?雖然新法上路後,民眾不必肩負舉證責任,但若提告者手上握有資料被外洩的事證,而企業所提供的證據卻沒有相關事跡,法官該怎麼判?這個問題的答案想必是無解,只能等真的有實際案例發生才能知道。
本文提到關於Log不可否認性的種種挑戰,目的並不是要告訴企業如何卸責,而是期望能引起主管單位的重視找出預防方式,或是訂出更多關於企業舉證的方向或是詳細做法,否則即便個資法上路,也很難達到「讓企業重視個資安全」的目的。
(本文作者現任職於資安公司)