觀點

因應個資法 為數位鑑識帶來的挑戰

2012 / 05 / 09
編輯部 (資安服務與數位鑑識專刊,2012.4月)
因應個資法  為數位鑑識帶來的挑戰

數位鑑識的工作很多,不過由於新版的個資法要求企業自負舉證責任,從因應個資法的觀點來看,數位鑑識的事前準備工作會有一些事項變得重要。

首先從個資檔案安全維護計畫的標準草案內容來看,該條文訂定了11項適當安全維護措施,分別是:(1) 成立管理組織,配置相當資源。(2) 界定個人資料之範圍。(3) 個人資料之風險評估及管理機制。(4) 事故之預防、通報及應變機制。(5) 個人資料蒐集、處理及利用之內部管理程序。(6) 資料安全管理及人員管理。(7) 認知宣導及教育訓練。(8) 設備安全管理。(9) 資料安全稽核機制。(10) 必要之使用記錄、軌跡資料及證據之保存。(11) 個人資料安全維護之整體持續改善。除了針對前述11點內容做比較詳細的規範,還納入母法中有關個資的蒐集/處理/利用的規定,以及委外管理的要求,提供給業者做為法規遵循及個資保護的參考。(詳細可參考本刊<11項適當安全維護措施>)其中,第8、9、10項的做法,像是對使用記錄、證據保存等,最與數位鑑識的處理息息相關。

因應個資法 企業該留哪些記錄?

根據新版個資法29條,個資事件發生時,企業若能舉證證明自身無故意或過失,就不必擔負損害賠償責任,但,企業該如何提出證據?日常作業中,哪些資訊必須被保留,才能在日後證明自身已善盡善良管理人義務、個資事件實乃非戰之罪?這是現今企業最關注的課題之一。我們可以從目前的「無店面零售業個人資料檔案安全維護計畫」標準草案來看,企業必須留存的記錄共有3種:個資管理程序、委外管理、及安全維護措施。

一、 執行個資管理程序所需留下的記錄:
1. 個資當事人行使權利:新版個資法賦予個資當事人以下5種權利:查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止蒐集/處理或利用、請求刪除,企業提供當事人行使權利的方式,以及當事人行使權利的狀況,都應有相關記錄留存。
2. 資料更正:企業必須定期檢查個人資料的正確性,倘若發現有誤應適時更正或補充,並保留相關記錄。
3. 資料刪除:企業蒐集個資的特定目的消失或已屆滿保存期限時,應主動或依當事人請求刪除、停止處理或利用該個人資料,並保留刪除的記錄。

二、 執行委外管理所需留下的記錄
企業委託他人蒐集、處理或利用個人資料時,必須制定適當地監督管理程序,如:確認委外的個資範圍/類別/特定目的、確認委外期間、確認受託人是否將業務再委外(若有,則需進一步確認廠商名稱)、要求受託人採取必要安全措施、委外契約終止時的資料銷毀…等,企業應定期檢查或稽核委外業者落實狀況並留下記錄。

三、 導入個資安全維護措施所需留下的記錄
1. 個資事件發生時,也就是個資被竊取、竄改、毀損、滅失、或洩漏時,企業所採取的應變措施,及通知當事人的情形。
2. 針對有權接觸個人資料的員工,所設定的權限控管及身份認證機制。
3. 儲存個人資料的載具,在報廢或移轉給他人前,所做的刪除或銷毀的動作。
4. 針對個人資料相關的系統,所做的權限設定及控管機制。
5. 為降低惡意程式與系統漏洞風險,所採取的適當安全措施。
6. 企業透過電腦、相關設備或系統來蒐集、處理或利用個人資料,必須定期檢查其安全性、使用狀況及個資存取情形。
7. 企業針對相關員工所提供的認知宣導與教育訓練。
8. 定期檢查與稽核個資保護管理計畫的落實狀況。
9. 個資保護計畫持續改善或變更的情形。

不過,草案雖然指出哪些資訊應該要留存記錄,卻沒有說明這些記錄應該要保存多久?3年、5年、或是更久?年限愈長,資料量就愈多,企業對儲存容量的需求也將隨之成長,勢必得重新規劃與投資儲存設備,目前無論新版個資法或施行細則草案,都沒有提到記錄的保存期限,只是未來母法或施行細則若有相關規範,就會重新修正遵循母法規範。對此,法務部科長黃荷婷認為,記錄保存年限與產業特性及企業資源豐富度有關,很難於母法或施行細則中制定統一規範。現已於新版個資法施行草案第六條規定,若為事後查核、比對或證明之需要而留存軌跡者,得不予刪除,避免企業因當事人要求刪除導致證據無法保全的風險,至於留存年限,若目的事業主管機關沒有強制規範,企業只能盡力而為,視自身能力所及來保全證據。

因應個資法重點:Log的留存處理

這也使得Log留存也變成在數位鑑識的前置準備重要課題,即使Log有可能因為不可否認性無法成為呈堂證物,但至少企業可以透過Log抽絲剝繭、還原事發真相。因此企業最好能建置記錄伺服器,將Log集中管控,不要存放在與原始AP/系統相同的主機裡,資策會專案支援處技術總監侯猷珉建議,這樣一來可以避免駭客竊取資料時一併取走Log,二來則是有效管控個資接觸者的身份。有些Log會夾帶個人資訊,如果放在原始主機裡,反而會讓一些沒有權限接觸個資的人(如:系統管理員…),藉著職務之便檢視客戶個資,所以要將Log集中控管,並刪除原始主機裡的Log資訊,從而限縮個資接觸者的範圍,避免讓沒有權限的人接觸個資。另外一種Log的處理做法則是在設計AP時,直接將Log依種類區分,舉例來說,與系統有關的Log(如:系統當機、硬碟故障…等),除了傳送到Log Server之外,在原始主機也可以保留一份,以便系統管理人員日後進行維護作業,至於與個資相關的Log(如:個資更正記錄…等),則要傳送到Log Server統一控管,並避免保留在原始主機裡。

以及,企業對於記錄伺服器的建置,有一些工具可以用,所以直接採購LM設備或是自建都可以。只是要注意Log Server模式,各有不同優缺點,茲分述如下:

一、 資料庫模式:倘若企業希望Log能做加值應用,可選擇此模式。好處是有良好的Log管控,依照不同記錄來源主機,設定不同角色,可以設定某些角色只能新增資料。不過壞處是,如果權限管控不佳,或是被有人心士知道資料庫管理者密碼,就會有資料遭到竄改或遺失的風險。

二、Syslog模式:單純地保存Log,雖然加值應用空間不大,但安全性較高。好處是可以透過網路把Log送到Syslog通訊埠,安全等級也較高,幾乎不存在修改既有記錄的可能性。不過由於Log管控功能差,所有能夠連到Syslog服務通訊埠的系統/AP都可以傳送資料。因此,企業需配合SSL通道與憑證做權限管控,也就是說只有擁有憑證的主機方,才可以進入通道傳送Log。

最後,侯猷珉強調,記錄伺服器的功能在於接收各個系統/AP的Log,屬於資產的一種,相關的保護措施自然不能少(見下表),惟有確保Log的機密性、完整性與可用性,才能在發生資安事件時發揮功效。

在企業因應新版個資法的重點有二,其一是強化個資保護能力,其二則是做好舉證準備,前者可以說是原本資安防護會涵蓋到的一塊,也需要長時間來執行、評估、教育訓練等,才能看得到成效。但對於記錄的留存來說,只要思考上述所提到關於留存記錄的一些做法,審視有哪些做法已經存在於現行作業環境裡,像是開啟原本關閉的系統Log功能,之後再逐步的強化、擴充記錄留存的廣度與深度。

記錄伺服器的保護機制

目標 做法
機密性 禁止未經授權之讀取

1.傳送過程加密保護

2.記錄保存加密
完整性 禁止修改記錄內容並確保資料傳輸過程之完整性

1.傳輸過程使用TCP協定

2.記錄只能累加

3.記錄伺服器具備識別記錄來源能力
可用性 確保寫入記錄機制之可用性,避免記錄遺失

1.傳送之記錄需同時寫入2台記錄伺服器

2.記錄若無法傳送出去,必須發出警示訊息

資料來源:資策會,《資安人》整理,2012/1

 

 

 

做好事前準備工作  才有成功數位鑑識搜證 

 

最後要談的是如何成功舉證、蒐證。目前很多資安設備都有提供Log與稽核的功能,如:電子郵件稽核、資料庫安全稽核(DAM)、日誌管理(LM)、網站應用程式防火牆(WAF)、資安事件管理平台(SIEM)…等,可幫助企業滿足上述部份的舉證需求, 中央警察大學資訊管理學系教授吳國清也提醒企業,企業日常執行個資保護計畫時,最好能產出實體報表並呈報總經理簽核,千萬不能只有電子檔,因為電子資料容易被假造或竄改,證據力較為薄弱,企業呈上的證物倘若不具證據效力,形同變項地在浪費資源。

國外的專業電腦鑑識公司林立,從英美等國的經驗來看,企業會先尋求律師的協助,透過律師代為尋找專業的電腦鑑識公司進行證據保全與資料還原。國巨管理顧問公司數位鑑識技術長鍾文魁也建議,企業要設法確保證據統一性,也就是原始證物和呈上法庭的證物要一致,如此才具備不可否認性,否則就會成為無效證據。

數位鑑識和傳統鑑識最大的不同點在於,數位證據容易被破壞與污染,不易證實其來源及完整性。在傳統鑑識中,刑案現場會在第一時間拉起封鎖線,確保現場不會被破壞,直到鑑識人員搜證結束為止,然而,數位鑑識卻經常面臨不完整的犯罪現場,因為資安事件的發生往往於無形之中,企業很難在第一時間就發現。台灣微軟資安專案經理林宏嘉便曾指出,遇過一名客戶連續5年處於個資外洩的狀態下,自身卻渾然不知,直到微軟介入調查後才發現,換句話說,當企業發覺系統異常時,資安事件往往已經發生一段時間了,證物不是被破壞就是被刪除,增加鑑識作業的難度。協科資訊協理張英傑表示,之前曾遇過企業,在資料外洩事件發生3個月到半年後,才開始想找數位鑑識人員搜證、準備打官司,然而,此時的行為軌跡都是事發後所留下,不是事發當時的狀況,鑑識人員又怎麼能拚湊出事件原貌

 

別白費功夫  保存證據當完整

 

企業日常作業中除了留存數位證據外,還要避免被破壞或污染,確保數位證物的不可否認性。刑法第155條明確規範證據的效力,企業要設法確保證據統一性,也就是原始證物和呈上法庭的證物要一致,如此才具備不可否認性,否則就會成為無效證據,其做法有:

 

第一,加密保存。證物保存的前提是不要讓它被破壞,最常見的作法是利用MD5、電子簽章等加密技術,將證物封存起來。

 

再來就是,可以選擇通過認證的工具。在美國,只要使用通過法院認證的數位鑑識工具,其所取得的數位證據具備效力,法官通常都會採信,然而台灣目前並沒有類似的認證機制,中央警察大學資訊管理學系教授吳國清認為,政府應該推動此類認證或標準,明確賦予取得認證資安設備的證據力,換言之,惟有通過認證的資安設備所產出的Log檔才具備效力,足以做為未來上法院的呈堂證供,另一方面,也可做為法官是否要採信證據的標準。目前,許多LM/SIEM廠商宣稱其產品可滿足企業未來舉證要求,鍾文魁提醒企業,若是為了舉證來採購此類資安設備,必須向廠商確認是否能證明統一性,也就是說,廠商要能證明其所保存的Log具備統一性,才可做為未來訴訟的證物。

 

最後是確保儲存媒體的乾淨。企業在留存數位證據時,還要注意儲存媒體是否夠乾淨,不可殘留其他內容,以免日後被質疑證物遭污染。吳國清指出,企業在儲存數位證物時沒有標準的做法,可能燒錄成光碟,也可能將硬碟清空後再將資料存放進去,但Windows作業系統在設計時考量到效能問題,即便按下了螢幕上的「刪除鍵」、或是清空資源回收桶,也不代表資料就不在硬碟裡,只是螢幕上不會顯示罷了,除非使用徹底清除軟體,才能確保這顆硬碟的資料已經被清空。