https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

成功蒐證 從日常作業開始

2012 / 05 / 17
廖珮君 (2012資安趨勢論壇-換個腦袋做資安專刊,2011.12月)
成功蒐證  從日常作業開始

新版個資法通過,對企業最大的衝擊,不只是擴大保護客體、加重民事與刑事責任,更苦惱的是必須擔負起舉證責任。根據新版個資法第29條,非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任,但能證明其無故意或過失者,不在此限。

中央警察大學資訊管理學系教授吳國清表示,這條法規是企業舉證要點,一旦未來遇到個資外洩相關訴訟,企業必須搜集各種數位或非數位證據,如:個資安全維護計劃與定期稽核報告、重要系統Log、資料庫存取記錄、網路封包側錄等,藉此證明自身沒有故意或過失,且已確實盡到「善良管理人」的責任。

企業未來若面臨個資訴訟案件、法官要求舉證證明自身已善盡善良管理人責任時,首先要拿出的證物就是,主管機關訂定的「個人資料安全維護計畫」,並證實自身已逐條去執行,且透過定期稽核確保落實狀況。

當然,不是每一次的個資訴訟案件,只要準備這些書面資料就可以,如同上述所云,有些時候企業為了瞭解發生個資外洩的原因,或證明事件發生實乃不能注意,就得請數位鑑識人員來採集數位證據並進行分析。錢世傑強調,數位鑑識的目的在於還原真相,數位證據則是用來證明自身無法防範駭客攻擊,再由法官來判斷是否有能力防止損害發生,倘若沒有能力防止,代表企業沒有過失,也就不必擔負損害賠償責任。

 

做好事前搜證準備 才能拚出事件全貌

數位鑑識不能在事發後才開始作業,而要在平常(事前)就作好準備,如此才能因應未來可能的搜證需求。調查局資安鑑識實驗室調查官鄭健行認為,數位鑑識可以找到資料竊取者的犯罪證據,也是判斷企業有沒有「能注意而不注意」過失的關鍵,但如果企業沒有事先做功課,在資安事件發生後,得花更多時間才能找到證據,甚至有可能找不到證據,以下三點就是數位鑑識該有的前置作業。

第一、搜集並保留重要資訊

國巨管理顧問公司數位鑑識技術長鍾文魁認為,企業日常該做的就是,增加重要資訊的搜集。所謂重要資訊指的是,資料傳輸記錄、交易記錄、通聯記錄(如:電子郵件或即時通訊軟體的對話內容)、重要系統Log、資料庫存取記錄等,這通常會視產業特性不同而有差異。陳受湛表示,撇開產業類別不看,以下4點是企業該做的基本功課:
(1) 保留系統Log並防止被更改,如:防火牆、IPS、資料庫等,資料庫Log記錄尤其重要,有些企業為了不影響效能而選擇關閉資料庫Log功能,這是錯誤的作法。
(2) 建立資料備份或異地備援機制,一旦遇到資安事件,才能快速恢復系統原狀,又不會破壞證物原始狀態。
(3) 員工電腦留存。
(4) 另外,若企業使用雲端或主機代管服務,則要注意委外廠商是否符合前述所提的規範,或是在合約中註明清楚,要求委外廠商配合數位鑑識的採證需求。

第二、建立事件通報機制:

定威科技專案經理林志遠表示,企業若能建立安全事件通報機制,就能掌握資訊犯罪的第一時間並做出應變。正常來講,企業本來就應該針對重要系統或是網路進出位置設立監控機制,無論系統自動監控或人為監控的方式都可以,如此才能在事件發生當下,啟動即時告警機制,然而事實上卻非如此,企業網管人員可能事情太多,沒有時間做Log review,或是把它排到最後一個順位,也就沒有所謂即時告警功能。

由於駭客攻擊很少一次就成功,通常得持續攻擊3、4天到半年左右的時間,才能順利取得資料,如果企業有一個運作完善的通報機制,就能在駭客嚐試攻擊的當下發現異常,並立即進入數位鑑識的作業程序。然而現今在沒有通報機制情況下,數位鑑識多半是事後才來做,對企業的幫助也就比較慢。

第三、封存現場:

企業要改變處理資安事件的觀念,先將犯罪現場封存起來、避免被破壞,之後再設法解決資安問題。張英傑解釋,MIS發現使用者電腦被植入惡意程式,第一個念頭通常是趕快用防毒軟體掃描該台電腦,找出惡意程式並加以隔離、刪除,但這麼一來,也把駭客留下的痕跡一併刪除,假若駭客植入惡意程式的目的,是將企業電腦當作跳板散播更多病毒,那些因此而中毒的人,可能向企業提告,因為惡意程式的確是由企業IP散佈出去,但企業卻沒有辦法證明這是犯罪者植入惡意程式所致,因為現場早已被破壞,找不到犯罪者植入惡意程式的證據,就算最後找到了,時間不對,同樣不具證據效力。

還有,MIS若遇到無法解決的資安問題,通常會向資安廠商協助,資安廠商如果一樣解決不了,就是直接重灌系統,現場當然被破壞殆盡。林志遠表示,發生資安事件時,資安廠商的責任是立即解決問題,數位鑑識廠商則站在分析事件原因的角度,要釐清責任歸屬及責任轉移的問題。但企業使用者端對數位鑑識的認知常常不足,才會造成數位鑑識的難度

另外,離職員工的電腦也必須進行封存,把原始狀態保存下來,才能交接給下一個使用者。黃敬博指出,很多企業都有員工在離職前夕大量竊取資料的問題,
但企業主卻沒有對離職員工的電腦做任何處理,直接移交給下一位使用者,新的使用者可能重灌系統、破壞現場,日後若要進行搜證作業,並不容易。

因此,張英傑強調,企業在發生資安事件或遇到員工離職的時候,第一件要做的就是封存現場,不要有開關機、灌新軟體的動作,而是保持事發當時的狀態,並複製3份,一份放在證物袋保存、一份重灌回機器,由MIS掃毒並解決問題、一份則利用數位鑑識工具進行調查分析。

企業在發生資安事件或遇到員工離職的時候,第一件要做的就是封存現場,不要有開關機、灌新軟體的動作,而是保持事發當時的狀態,並複製3份,一份放在證物袋保存、一份重灌回機器,一份則利用數位鑑識工具進行調查分析。

證據保存必須完整 否則只是白做工

企業日常作業中除了留存數位證據外,還要避免被破壞或污染,確保數位證物的不可否認性。根據刑事訴訟法第155條,證據之證明力,由法院本於確信自由判斷。但不得違背經驗法則及論理法則。無證據能力、未經合法調查之證據,不得作為判斷之依據。

鍾文魁表示,刑法第155條明確規範證據的效力,企業要設法確保證據統一性,也就是原始證物和呈上法庭的證物要一致,如此才具備不可否認性,否則就會成為無效證據,其做法有:

第一、加密保存:

證物保存的前提是不要讓它被破壞,最常見的作法是利用MD5、電子簽章等加密技術,將證物封存起來;

第二、選擇通過認證的工具:

在美國,只要使用通過法院認證的數位鑑識工具,其所取得的數位證據具備效力,法官通常都會採信,然而台灣目前並沒有類似的認證機制,中央警察大學資訊管理學系教授吳國清認為,政府應該推動此類認證或標準,明確賦予取得認證資安設備的證據力。目前,許多LM/SIEM廠商宣稱其產品可滿足企業未來舉證要求,鍾文魁提醒企業,廠商要能證明其所保存的Log具備統一性,才可做為未來訴訟的證物;

第三、確保儲存媒體的乾淨:

企業在留存數位證據時,還要注意儲存媒體是否夠乾淨,不可殘留其他內容,以免日後被質疑證物遭污染。

 

評選廠商三大指標:背景、證照、經驗

許多歐美大型跨國企業都會自行建置數位鑑識團隊,一旦發生資安事件便立即啟動調查,但自建團隊代價過高,請外部廠商協助是比較符合成本效益的做法,以下是廠商遴選的指標:

第一、身份背景

目前,台灣提供數位鑑識服務的業者數量並不多,但身份背景卻相當多元化,有管理顧問公司、會計師事務所、數位鑑識廠商、資安廠商等。鄭健行認為,企業應該依據事件發生狀況及處理策略來選擇。以駭客入侵的資安事件為例,如果企業只是想要解決問題、恢復系統原狀,或者是要蒐集證據進行內部行政處分,那麼找資訊安全或數位鑑識廠商協助即可,但是若牽涉到民刑事訴訟案件,亦可透過司法調查機關協助。以英美兩國的經驗來看,企業在面臨資料外洩相關的訴訟案件時,通常先向律師尋求協助,律師則會找配合的鑑識專家進行調查。

第二、擁有國際證照的質與量

陳受湛強調,法庭對於專家證人(或鑑定人)仍有一定的要求,否則其於法庭之證詞或鑑定結果,未必能受到法庭之採用。因此,數位鑑識廠商處理事件的經驗和能力,也是相當重要的評估因素,經驗可以從廠商所累積的客戶名單來判斷,至於能力一詞則相當抽象,大概只能從廠商所擁有國際證照的數量及種類來評估。目前數位鑑識相關的國際證照相當多,包括ACE、CCE、CCFE、CFE、CFCE、CHFI、EnCE、EnCEP與GCFA等。

第三、處理事件之經驗

任何一個意圖竊取資料的人,都會在系統中留下痕跡,端看數位鑑識人員如何去追蹤調查,而這靠的就是經驗,舉例來說,駭客為了不讓人發現身份,可能在離去時刪除電腦裡的Event Log,增加事後追查的難度,但是就算沒有Log,電腦還是有很多操作軌跡,鑑識人員的經驗愈豐富,就愈能知道電腦裡還有哪些可以追蹤的軌跡。

最後,在選擇廠商時應以公司法務人員聽得懂為原則。因為數位證據最終得呈到法庭上,法院對於證據採信有諸多規範,所以在遴選廠商時,就不能只評估找到證據的能力,還要看其與法務人員間的配合度,否則即便找到再有利於企業自身的證據,也無法做為呈堂證供。鍾文魁進一步指出,數位鑑識是法律訴訟的一環,但不是惟一的一條路,企業應該從數位證據去判斷後續該如何處理,如果取得的證據不利於訴訟,例如:駭客在國外、求償不易,不如將訴訟的預算用在強化資安上,也許會來得更有效果。