https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

個資法將至 萬事DLP?

2011 / 10 / 11
賈芳
個資法將至 萬事DLP?

因為最近老闆被個資法給嚇到了,所以也被交付了許多相關資安設備導入規劃的研究工作,不過在觀察近期各資安廠商主推的解決方案後,也發現了一些令人感到困惑的現象,各家資安廠商近期主打的似乎都以內部控管解決方案為主,不斷以各種名義大肆發佈各種弱點威脅與資安研究報告,明明HB Gary仍屍骨未寒,RSA遭駭客入侵的慘案也還殷鑒不遠,但幾乎每個接觸過的廠商還是賣力地企圖說服我們,企業所面臨的個資外洩威脅主要來自於內部的員工;這類的研究報告或研討會聽個一次、兩次還可以一笑置之,但接觸久了真的會讓人開始感到茫然,一下子要面對的敵人突然從外部的陌生駭客,轉變成每天接觸到的工作伙伴,很容易就會陷入敵我不明的錯亂感。

 

 

不要被廠商嚇傻了

 

為了釐清這種混沌不清的曖昧現狀,只好努力地用自己不怎麼靈光的腦袋瓜好好思考了一下。我想會產生這種現象的主要原因,大概是因為企業對於抵抗外部攻擊的防禦設備的採購比率已經飽和到某種程度,加上防禦外部駭客攻擊的產品本身發展也到了一個難以突破的瓶頸,君不見無論各家防毒軟體廠商宣稱自己的偵測能力有多精準、多強大,認命的IT人員還不都默默地接受了防毒軟體常常會抓不到病毒的事實;所以廠商為了在殺紅眼的資安市場中堅強的活下去,也只好將觸角慢慢轉向另一個飽和度相對較低的市場了。

 

 

威脅來自內部的誰?

 

當然這類「威脅主要來自企業內部員工」的說法其實也不能完全說它不正確,只是這種說法呈現出來的數據通常已經過包裝與修飾,不見得能夠真實反應企業實際面臨的威脅現況。以最常見的一種說法來看:「七成以上的個資外洩事件來自於企業內部。」在數據統計上或許沒有太大的謬誤,但卻太過於攏統了。如果我們在這七成的個資外洩來源當中持續細分下去,可能會發現很有趣的結果:

 

一、內部非惡意員工HB Gary事件可歸在此分類):

我想,沒有人(或廠商)會否認,在來自於企業內部的個資外洩事件中,員工無心的疏忽與誤用其實佔了絕大多數,這也衍生了一個十分值得玩味的問題,那就是是否有必要為了員工的不小心,而把公司的內部網路環境搞得跟對岸網路戒嚴一樣?事實上,針對內部非惡意的員工,防禦重點應該放在防呆,而非防駭。只要做好內部資安規範與標準作業流程的規劃,並透過教育訓練來落實,再輔以定期與不定期抽查以提升員工的警覺性,其實就可以達到一定程度的防呆效果。當然如果企業所保存的機敏資訊較多而希望有較為嚴謹的控管,或許可以再考慮採購內容過濾的設備來做進一步的防禦。

 

二、內部惡意員工:

來自企業內部的惡意員工畢竟只佔了極少數,只是一旦發生後往往會造成難以預估的損失,甚至會登上媒體的版面而嚴重影響商譽,而這也是內部控管作業所應該要嚴密防範的對象。所以廠商也推出了各種對應的內部控管解決方案,如:DLP(Data Loss Prevention),尤其著重在資料保護與內容過濾上,目的就是為了避免惡意員工以各種方式將公司內的機敏資料攜出。

 

但隨著行動通訊與虛擬化技術的迅速發展,加上針對對岸GFW(Great Firewall)翻牆技術的進步,使得這些控管設備的防護功能也受到越來越嚴格的考驗。

 

三、不受控管人員:

這大概是所有IT人員心中永遠的痛了!無論企業宣稱自己有多重視資安,建立了多嚴密的資安規範,或是通過了多難拿到的資安驗證,但大家仍然心知肚明,這些檯面上的資安規範其實僅適用於一般員工。由於IT部門在企業體系內多半被歸類於支援單位,許多企業的IT部門最高主管可能只到經理或協理級,但營運單位隨隨便便就能抬出一堆職級高出一截的更高階主管人員,常常一道命令下來,IT人員就只能含淚在好不容易佈署完成的內部控管環境中,再敲開一個個洞來迎合長官們的需求!而這些被敲開的洞,往往也成為管控上的最大盲點(權限既高又不受控)。若要有效控管這類不受控管人員所造成的問題,需要的通常也不是什麼資安制度或設備,而是要等企業真的出了事,狠狠被打一次臉後,才比較可能有所改善。

 

內控方案甘苦談:

 

而在採購與佈署內部控管解決方案的實務上,對企業IT人員更是一連串嚴苛的考驗,有許多預期或不預期產生的狀況需要克服,底下是筆者整理周遭朋友曾經遭遇到的問題:

 

一、對管理面的衝擊:

單是定義出哪些層面該納入控管,哪些不該納入控管恐怕就夠IT單位傷透腦筋了!過度鬆散的控管,容易讓防護機制形同虛設,但過於嚴謹的控管,也可能會提高作業的複雜度,連帶地影響工作效率,甚至是影響到系統的可用性(Availability)

 

即便是費盡千辛萬苦導入後,後續的維護也是一項艱難的考驗,例如權限的控管就是一個難以搞定的問題,尤其是過去自由慣了的單位,往往總是有辦法生出各種理由來申請各種權限來擺脫限制,例如業務部門可能會宣稱因為客戶端聯絡需求需要開放即時通訊軟體的使用。甚至有很多嚴重缺乏資安意識的單位主管還自訂SOP(標準作業流程),在部門新人到職時,代為申請開通各種權限,讓IT部門辛辛苦苦規劃導入的防護機制形同虛設。

 

二、 對技術與架構面的衝擊:

許多企業早期並沒有對IT環境進行長遠的規劃,而是胡亂地把後續追加的需求堆疊上去。這種疊床架屋的架構本來就很容易產生風險與管控上的死角;一旦企業決定佈署內部管控系統時,往往得配合調整網路架構才能達到最佳的管控效果,這時候過去雜沓無章的網路架構勢必得被翻出來重新檢討、調整。

 

雖說就企業整體發展而言,如果能夠藉由導入內部控制系統的機會將積弊已久的架構問題做個翻修,也算得上是大功一件。不過通常架構上的異動與調整還是需要經過完整而嚴謹的內部評估,分析相容性與異動影響,並確認在可接受範圍後,再分階段持續進行改善並觀察的流程。

 

而資安設備的導入由於廠商部分會有結案與請款的壓力,所以整個導入的期程通常在一年以內,若只是為了配合設備導入而在短期內硬作架構上的調整,往往會爆出許多意料之外的狀況,輕者設備導入失敗就算了,嚴重者,還曾經聽聞過有架構改到一半就放棄,設備也無法順利導入的狀況,讓單位的架構變得更加岌岌可危了。

 

三、衍生的資安問題:

還有一些小眾品牌的產品,由於人力的不足與缺乏專業的資安研究人員,在更新的機制與系統的支援度上也有很大的問題,筆者就曾經在國外駭客網站上,找到單位內採購的資安設備安全性弱點,將問題反映給廠商後也遲遲無法得到回應,也曾聽聞過某數位版權管理系統(DRM)無法支援Windows 7與新版Acrobat reader的問題,如果為了迎合這些設備的需求而將內部使用的系統降級到比較不安全的版本,這無異是本末倒置,反而嚴重影響了企業內部資訊環境的安全性。

 

四、法律面的問題:

隨著個資與隱私權保護意識的抬頭,企業在佈署內部控制系統時,勢必要納入許多隱私權的考量,在監控的尺度上也得拿捏得更為精準。雖然部分企業在員工聘僱契約上就載明了資訊使用的規範與義務,但員工畢竟也是人,也受到法律的保障,如果在員工的合理使用範圍裡,不小心做了過度的監控而侵犯了員工的隱私權(尤其是開啟了SSL Interception將加密連線都納入監控之後),這下應該保護個資的企業單位反倒越界成了加害者,除了影響員工工作士氣外,甚至可能產生法律上的爭議,徒增不必要的困擾。

 

前面講了這麼多,當然不是要完全否定這些內部管控設備,只是提供給IT工作同仁們一些過來人們的經驗,希望大家在內部控管解決方案的評估過程中,能夠先將這些可能面臨的問題納入考量,避免辛辛苦苦導入之後,非但沒有獲得預期的效益,反而帶來更多的問題。

 

IT人員在實務規劃上可提供的建議


當然在多數時候,尤其是當法令有要求的情況下,主導整個解決方案導入決策的通常不會是地位卑微的IT人員,但IT人員至少在實作與規劃上仍會保有評估與建議的權力,以下是筆者給勞苦功高的各位的一些小小建議:

 

一、安全性的評估:

套一句廣告台詞:「先研究不傷身體,再講求療效。」,畢竟設備的導入是要解決我們現有的安全性問題的,如果導入後反而產生更多的安全性問題,我想那已經完全失去了導入的意義。

 

當然一般IT人員可能比較不曉得如何去評估設備的安全性,廠商當然也不可能這麼天真地主動告知產品本身的瑕疵。在這邊建議如果單位有採購資安檢測設備的話,也許可以透過這些自動化的檢測機制(如:網頁黑箱檢測工具)來協助檢測設備的安全性問題。如果單位缺乏相關資源的話,IT人員也可以藉由瀏覽一些國內外的資安網站與論壇,如:CVESecurityFocus網站等,甚至是主動參與一些網路社群的活動,透過相關社群的知識與經驗分享,自然可以輕易獲取所需的資訊。

 

二、企業文化:

在評估導入內部管控解決方案的時候,請務必將企業文化也納入評估的項目。由於所防禦的對象不再是外部的駭客,而是來自內部的使用者,勢必會對企業現有的企業文化與管理機制造成一定程度的衝擊。

 

如果IT部門夠powerful,而企業高層也充分授權的話,那在導入的過程中自然可以大刀闊斧地進行改革。如果企業文化是保守而且階級分明的,純粹只是因為法規要求而被迫做出改善,那除非獲得書面的保證,否則就要盡量避免架構上太大幅度的異動,免得隨時要依照長官的心情來變動需求,留下無法收拾的爛攤子。

 

三、核心需求:

在評估內部控制設備的時候,請務必先釐清自己想達到的管制目標到底是什麼?由於市面上產品百家爭鳴,許多廠商會為了各種不同目的而開發出一些不見得能派得上用場的功能,卻也常看到很多IT單位在進行技術評比的時候,把這些明明沒機會用到的無用項目也納入評比,結果買到了一些功能花俏,但卻連核心需求都無法有效滿足的產品。以數位版權管理系統來說,你應該關心的是企業對文件保密的需求層級,是否支援單位文件使用流程中各環節的管控,而不是費心去思考產品是否具備支援拍攝影「新虎膽妙算」的酷炫功能。

 

四、安全與成本間的平衡:

記得一位資安界的前輩曾經講過:「沒有絕對的安全,只有相對的安全。」在風險管理(Risk Management)的領域裡,我們也會先定義出可接受風險的等級,再將風險逐步控制到可接受的水準。而在現實生活中,企業的目的終究還是「獲利」,自然不可能毫無止境地追求極致的安全,最終還是要以企業的最大利益作考量,因此在評估內部控管解決方案的時候,請務必要回歸實際作業面,考量成本與本身作業環境的流暢性等問題,若導入內部控管機制所需支付的成本高於所帶來的效益,可能得要評估是否有其他較為節省成本的解決方案,若是導入後會對工作效率帶來影響,甚至是影響服務的可用性,那勢必得尋求其他影響層面較小的替代方案。

 

 

結論

最後,我想大家都聽過一個笑話,某位大老闆徵私人秘書,在經過冗長的履歷篩選與面試程序後,最後這位大老闆挑中了胸部最大的那位成為他的私人秘書。這樣的笑話在IT界其實隨處可見,如果你的老闆在經過你專業的評估與建議後,永遠只會選擇最便宜的那個解決方案,這樣我也只能勸各位自立自強,盡量撥出時間參與技術社群的活動,以便獲取更多有用的相關(含跳槽)資訊了。