https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

法庭勝訴的關鍵─電子舉證

2012 / 05 / 17
文:TRENT HENRY / 譯:編輯部 (2012資安趨勢論壇-換個腦袋做資安專刊,2011.12月)
法庭勝訴的關鍵─電子舉證

永不妥協(Erin Brockovich)這部電影所描述的,就是女主角利用這家被告的公營事業整間亂放的紙本資料,為634位原告贏得官司。「資訊」的重要性,在這個例子中有力地獲得證明。

時至今日,當資訊大量地電子化(ESI, Electronically Stored Information)之後,已經成為新的洪水猛獸,在許多民事官司中,更是勝訴的關鍵。論辯兩造律師團,都會到處蒐尋對對方不利的證據。    

在2006年12月,U.S. Federal Rules of Civil Procedure (FRCP)做出新的改變,所有電子化文件擁有與傳統實體文件相同的法律效力。這表示電子文件可能會成為一宗官司的關鍵物證,而且必須交代來源與獲取的過程,因此,這個重任就落在IT人員的身上。不可思議吧!如果沒有將電子化文件的儲存、搜尋到變成關鍵證物的過程詳細列出,也就是所謂e-Discovery(電子舉證,或譯電子化搜尋)的議題,會造成好人入監、壞人縱放的情形,重點就在於資料本身的真確性與可用性,所以也變成資訊安全的熱門議題。當然,在有些案件中,電子資料的機密性也會是關鍵,基於此論點,企業的資安團隊無法忽視 e-Discovery的需求與挑戰。

 

常見的錯誤

在民事法庭開庭之際,法律團隊開始要決定有哪些種類的證物與本案相關。然後就開始各種探索資訊的需求,如電子郵件、文書檔案、交易紀錄或其他可以在法庭上輔助己方觀點的電子化資訊。因此,IT與資安團隊已經開始注意到e-discovery,但是還沒辦法真正駕馭它,經常會犯下一些錯誤,因為他們無法真正了解這個動作到底要做什麼,真正的需求在哪?另外,在法庭上的論辯陳述也常考倒IT人員。以下是幾個常見的錯誤:    

錯誤1:「假設」,我們一定可以為所有資訊儲存(ESI)做好最佳的風險管理,實則不然。要妥善保存所有資訊是一個高成本效益的付出。雖然儲存裝置的費用已經逐年下降,畢竟還不是免費的,要做好ESI儲存的組織必須負擔每年驚人的預算支出。    

雖然不見得所有的資訊保存都需要花很多錢,而且法庭上也沒有期望每個案件都遵循這樣的保存條件,在正常的商業流程中,資訊最後的狀態就是會被銷毀。不過重要的關鍵資訊則必須考慮其保存或銷毀的抉擇問題,還有跨組織保持資料一致性和連續性的議題,很可能因為資料被銷毀、或案件相關的資訊無法在同樣水準中被保留,可能會造成訴訟中止或敗訴。這可是個嚴重的問題。

另外,過度地保留資訊反而會造成其他新的風險,這應該需被避免。保存所有未經定義的舊資訊是很不理智的,企業很可能因為找不到案件相關的資訊,但是卻搜索到足以另外開一案調查的資訊。當這些資訊退役(銷毀),就可以永久保持其機密性。雖然沒有任何法律顧問會要求你把相關資料銷毀,商業文件都應該有他的生命週期,該關檔時就應銷毀資訊。以下有一些建議:    

(1)有哪些外在的必要需求,讓企業必須持續保存哪些資訊?其中可能包含法規需求、調查而不只是法律案件。

(2)哪些是未來可能會遭遇到的挑戰?例如對於資訊銷毀的法規要求,或者是誰可以合法持有這些資訊,這是未來法規團隊必須面臨的議題之一。

錯誤2:把所有資訊大量地集中儲存,以確保快速找到它們。雖然這樣做可以減少各儲存地點與裝置的數量,但是建立一個超級的儲存區,是不可行且不合常理的。任何一個要做 e-discovery的團隊必須注意,多個資料來源、多種技術並行可能才是最佳的解決方式。企業必須有不同的技術或方案去符合各種規範的需求,包含搜尋、對應、分類等。簡單的說,企業要能夠知道哪些資料存放於何處,用最短的時間去找出來,還要可以維持資料在最新的狀態。   
   
錯誤3:認為e-discovery的問題只跟電子郵件有關。這個想法都要怪某些廠商在不適當的時間講了不適當的簡報,以及媒體的錯誤引導。當然,電子郵件對於法律證據的拼湊是非常有用的來源,但是絕非全部。要保存的資料非常多,企業絕對不能只針對電子郵件當作e-discovery的範疇。適當地管理電子郵件是必要的但不是e-discovery的全部。

乾草堆還是麵條

在商業營運中使用資料是必然的過程,也預期應該可以在需要的時候找到相關資訊。但是,哪一天你必須出庭時,要如何從好幾個乾草堆中找出長的很像的麵條,這可是如同大海撈針。

有些結構化的資料格式,先天就擁有良好的搜尋機制,像是電子郵件。而安全團隊的挑戰則是像影片檔、事件稽核記錄這一類(圖1),可能是非結構化或者資料量超大的來源資訊。然而,對於法庭上抗辯的雙方而言,這是一場公平的遊戲嗎?各種ESI資料型態都要被轉換成不同目的所使用,基於安全或是稽核緣故,必須把相關資訊轉換成一些固定儲存格式,並加以標記資料說明,這就構成基本的企業e-discovery雛型。

對於影音檔案亦同,許多企業選擇永久保存實體安全監控的影片檔案,可能採取錄影帶或者是數位化儲存,當然要在法庭上生效,那就得看長期下來的保存率有多高。

嚴格來說,在ESI生命週期中的保存與商業營運程序有絕對的相關性。組織必須清楚地了解到哪些資訊必須被保存、其保存與銷毀的政策,及資料保存的責任鏈(不只是IT人員,業務部門與每個員工都有其義務)。    

同樣地,在執行法規遵循與IT監控各種資料流時,必須要有很清楚的資訊處理原則,相關的重要資料不能被銷毀,而IT必須能夠指出哪些資料的位置,當檢察官來調查時,這是最好的應對狀況,包含資料是被誰收集、誰存取或是控制,在儲存與取用時如何做到管理與記錄等。

 

成熟的模式

大部分的企業很可能還沒準備好完整的e-discovery配套,哪些是關鍵工作項目呢?好消息是成本已經逐漸不再是個大問題,不過仍然是一個必要參數,因為人工的資料搜尋是非常昂貴與負面的動作,對企業的應變能力也大打折扣。改變基礎建設與強化自動處理資料保存、定位、搜尋及產出電子化證據的工作是必要的步驟。

一般而言,一個完整成熟的組織,會將e-discovery的工作整合進資訊生命週期管理(ILM)中(圖2),舉例來說,在資料創造的階段,資料就會被加上一個標籤,協助對應此資料內容與政策的關係,可能會貼上「專案:某某公司, 最後更新時間:某年某月, 資料擁有者:製造部門」這類的資訊,可以協助此資料在往後的生命週期中更容易被自動化處理,當資料被儲存時,相關工具就可以提供其儲存的位置、政策、與其它相關資訊。當檢察官詢問,「某公司的資料在哪?」 就可以取得相關資料的清單與歷史記錄。

同樣地,資料還可做壓縮歸檔,也可以做重複資料刪除(de-duplicated),讓相同的資料只留一份,把敏感與商業秘密進行適當的加密保護,直到有需要的時候才能被解密使用。

一個很有趣的問題是,我們究竟該在員工電腦上做到哪些事?資訊生命週期中,資料在各用戶手上被創造出來,在不同的獨立系統與行動裝置上。這邊有兩個參考作法,第一,透過法律諮詢了解ESI在法規上的需求,訂定組織對於資訊保存的規則與政策。第二,評估與佈署在用戶端的附加控制方法,可能是用戶端的政策落實工具,或者文件內容感知的代理程式、監控與數位版權管理方案。但是一定要透過不定期與適當的稽核來達到偵測與嚇阻的效果。當然,任何新技術方案的導入都要對使用者教育訓練,建立清楚易懂的政策與程序,以及聽聽用戶的真實心聲。

 

跨部門溝通是關鍵

在E-discovery中最重要的關鍵在於,建立與法務人員的溝通管道,讓雙方都可以了解E-discovery的目的與需求步驟,但這通常是最難的工作,在IT與法務部門間的拉鋸戰會讓雙方產生質疑與過度的保護心態。

舉例來說,法務人員可能會要求很貴、需要大量資源的資訊保存與檢索系統,但是卻要燒掉IT部門的預算,另外就是法務部門會認為這是件小事,常常在最後才把需要大量工作密集的任務交代出來,這樣的狀況需要有經驗的關係處理及商業管理技巧來平衡雙方的失衡關係。

建立內部領導團隊是聰明的決策,大型企業中要進行E-discovery需要指派或設立一個新的高階角色,至少可以管到全公司IT 與法務部門的協調、溝通管理作業上的問題與E-discovery專案進度的追蹤。   

環境工程商Prudent technology改變了這個對立狀態,企業是不該存放所有的資訊,這樣的成本太高而且風險太大,他們需要自動化的分類儲存系統,告訴你哪些資料需要被儲存,貼上機敏資訊標籤以及轉換成為法務部門所需的資料格式。

主事者必須先尋求政策強化支援,以及慎選解決方案,組織可以漸進式地改善e-discovery的應變能力,讓法務部門與安全部門共同定義出合適的資訊生命週期是成功的關鍵,而不是在法庭上才匆忙地提出需求且輸掉官司。
    

多出一雙白手套
電子化的證物不需做太多的「處理」

企業必須要知道物證管制鏈(chain-of-custody)在安全與鑑識領域扮演的重要地位,證據必須經過戴上手套、用夾子放在證物袋中。換句話說,電子化物證必須能夠證實其防竄改與過多的加工處理,而且有一萬個理由可以在法庭上證明這ESI是無效的。

企業不是執法機關,而且通常是涉入民事案件而非刑事案,ESI包含營運記錄資料,要有相對的保存政策,加上正常的IT營運過程,才能夠符合e-discovery的目的。

U.S. Federal Rules of Evidence 記載資料可以被處理,不代表可以被使用在法庭上,因此企業必須能夠證明這些資料如何被收集、儲存以及其可靠性,雖然已經能夠證實其真確性,但是還要有存取記錄與稽核資料輔證,確保管理者權限人員無法動到這些資訊,加上數位簽章或加密的演算碼等來驗證。

儘快與貴公司的法務人員談談,這是個值得討論的議題。請參考微軟高層遭到反托辣斯法調查時,必須供出所有電子郵件,又無法提出任何反竄改的保護機制,因此這些物證在法庭上站不住腳,而被再三討論的例子。

 

<本文原刊登於資安人第59期,為TechTarget授權翻譯文章。>