https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

商業間諜來襲 成功數位鑑識揪出內賊

2012 / 05 / 09
編輯部 (資安服務與數位鑑識專刊,2012.4月)
商業間諜來襲 成功數位鑑識揪出內賊

在商業交易行為當中,數位鑑識的應用大多不出營業秘密外洩、智財權蒐證等。本篇以一則真實案例提供讀者一些簡單概念。

美國的熱門影集-CSI犯罪現場(Crime Scene Investigation),主要是描述刑事鑑識科學家的故事,鑑識專家仔細採集犯罪現場中的各種事證,即使只是一根頭髮、一個鞋印,都可能是還原事件真相的關鍵,這種抽絲剝繭及互相拼湊的調查精神,同樣適用於數位鑑識上。

2009下半年時,全球面臨到金融風暴,讓很多企業緊縮人力成本,不得不資遣員工。結果許多員工得知自己即將被資遣,趕緊預作「準備」。當時也曾發生過幾位核心人員集體跳槽,甚至帶走產業資訊出外創業,再回頭棒打老東家的案例。企業風險一下提高許多。直到企業主發現離職員工帶槍投靠競爭廠商後,才驚覺這些問題不可不重視,於是大公司可能會開始採購防資料外洩解決方案,如防制資料外洩(DLP, Data Loss Prevention ),或數位版權管理(DRM, Digital Rights Management)等系統。 但這只是治標不治本的做法,平時不去強化資安體質就算了,更有甚之的,中小企業遇到上述狀況,也是只能選擇摸摸鼻子就算了。資安問題不是技術問題,更多環節出在管理,只是在中小企業的營運過程與環境中,相對重視人情味與人性化管理,許多該做的稽核控管都未能注意,因此相當難杜絕類似的事件發生。

離職員工也是風險一環 應做好保護企業最佳基本原則

在許多的企業風險案例中,「離職」往往是災難的開始。而最慘的是,一開始企業主可能並不自覺,往往在事情發生一段時間,且造成公司嚴重傷害時,才開始採取相關的挽救措施或懊惱地進行法律訴訟,求償訴訟可能因時間的延遲及不當的處理,使原本可以輕易掌握的有利證據已經消失殆盡,錯失許多問題防範的最佳時機點。以下分享一則改編過的真實案例,讓大家簡單了解,在一些資安事件上的證據保存及蒐證過程中,可能面臨到什麼樣的困難,及平日應做好哪些程序,確保事前做好保護企業的最佳基本原則,事後亦有相關佐證降低企業傷害。

某知名科技公司某研發主管John Wu於農曆年前提出辭呈,而John Wu於離職後即加入XX科技公司,且在不久之後的兩個月內,該公司便發表與原公司同質性極高的新產品。鑒真數位執行長黃敬博建議,首先應先了解John Wu在任職研發主管時,是否簽立保密條款或員工守則,此為公司在管理面上可進行的最基本防護。員工守則中確規範職掌內容及保密的範圍,並同時告知公司有權對於任職員工在上班時間於工作場合所從事的資料予以適當的保存,其中包含電子郵件、即時通訊或任何相關的電子數位資訊等,其主要目的在於公司必需善盡告知的義務,使員工了解在上班時間使用公司資源所從事的資訊傳遞並不屬於隱私權範圍,如此當公司遭遇緊急事件時,即可明確調閱相關的電子資訊,使數位證據的搜尋具有正當性,並避免日後訴訟時員工可提出侵犯隱私權等相關爭議。另外在保密條款中,部份公司會增列旋轉門條款,可避免員工在離職後一定時間內到競爭者公司從事相同性質的研發工作,但基於憲法有保障人民工作的權利,因此這項條款主要的認定仍在於是否有竊取公司暨有的研發成果或商業機密而運用到新任公司中;因此最終該如何有效的具體舉證,才是真正確保公司權益的重要關鍵。 另外,由於許多公司允許員工攜帶個人裝置應用於工作場所中,如此一來,即使清楚明白某人的個人電腦上存有關鍵的數位證據,但此裝置屬於個人資產,因此除非當事人同意,否則公司將無權去搜尋屬於個人資產範圍的任何資訊。黃敬博說,這種情況下,當發生問題時則會造成2項重要阻礙。

第1、將無法於事件發生時做好對公司權益保護的蒐證工作;第2、由於當事人習慣於使用個人電腦設備,因此導致在其他公司配發的電腦設備中,將找不到具有舉證價值的數位資訊,因此公司在管理上應明令不得攜帶私人的電腦設備及儲存媒體,且只能使用公司配發的設備於公事應用上。在本案例中,公司有配發一台筆記型電腦供John Wu使用,且自開始任職研發主管時即有簽署保密工作協議,因此本案的處理重點,則是如何找出其違反保密協議及洩漏公司機密的具體證據。而John Wu其實早在多次會議中,抗拒公司的稽核管理計畫,且研發進度已出現嚴重拖延,在工作上有些不尋常舉動,根據後來的深入了解,其實那段時間正好是John Wu開始有計畫竊取公司機密的時機,而超過9成的預謀犯罪者,都會設法了解公司的防禦措施而計劃一個安全的躲避方式,特別是研發或MIS技術人員對於公司的防禦架構會更加了解,因此知名科技公司雖然在每個研發使用者端安裝稽核管理程式,以便於了解每個使用者在本機所進行的任何操作及檔案搬移記錄,甚至必要時可擷取使用者端的操作畫面,並在網路端有佈署上網行為稽核機制,只要是郵件或Web傳遞的資料均可以保存供調閱稽核,但在事件發生後去調閱所有的稽核管制平台,卻沒有發現任何異樣或足以證明的證據。

善用電腦鑑識的預防程序保存證據力

至此,John Wu已經違反民事侵權損害賠償及刑事妨害電腦使用罪責任,一旦掌握具體證據及損害事實時即可進行報案,不過,想要證明John Wu洩密於新任職公司並阻止該公司推出新產品,以及達成求償的目標仍有一段距離。最後,在警方扣留John Wu個人電腦後,具體做了鑑識,才在Web Mail的殘留軌跡中,找到與競爭公司的郵件往來內容及檔案寄送的具體證據,證明John Wu確實竊取公司相關機密並外洩給XX科技公司。其實,這家知名科技公司若可以在事前的緊急應變程序中,加上電腦鑑識的預防程序,當第一時間發現John Wu有異常時,就能夠先作好此人的筆記型電腦磁碟映像檔(Disk Image)並予以完整保存,其執行方式可提供非技術背景的稽核人員實作,只要按照既定流程和操作方式即可,如此便能作好第一時間點的證據力保存。另外,在預謀犯罪時通常會有很多徵兆可循,倘若事先發現研發進度的延遲是人為因素造成,且掌握John Wu明顯與競爭者公司密切接觸的資料,當他離職後,即可先寄發存證信函予以正式通知、警告,而警告內容只要詳列所發現的具體證據之一,通常即可達到嚇阻作用。一般來說,犯罪者並不清楚目前公司所掌握的其它證據範疇,因此這也會破壞既定計畫,通常會先觀望或就此打住,此後若發現John Wu已任職於競爭者公司時,亦可發送存證信函給對手公司,告知離職員工對原公司進行的侵權事項及具體證據,確保對手公司不要誤用或捲入侵權爭議。

所有的資安事件中,「人」才是最難防堵的漏洞及死角,若只從技術的角度出發來處理,並非明智之舉。時機,是非常重要的預防關鍵因素,因此應適當運用法律與數位證據保留機制,在緊急應變程序中加入不同程度的電腦鑑識檢查機制,往往可以得到意想不到的防弊效果。