新版個資法即將上路,雖然立下許多比舊法嚴格的法律規範,但也提供了保護傘機制,例如新版個資法施行細則草案第9條,便明確列出何謂適當安全維護措施,讓企業在法規遵循時有據可循。
台灣賽門鐵克資深技術顧問張士龍認為,施行細則草案中所列的11項安全維護措施,從技術防護角度來看可以歸納成4個要點:個資盤點、資料安全、設備安全、資料稽核,企業必須先瞭解自身所擁有的個資種類和數量,據此規劃資料與設備安全控管措施,最後才是建立資料稽核機制,監控與記錄所有資料存取行為,萬一未來發生資料外洩事件,才能根據歷史記錄查明原委。
若進一步從資料與設備安全控管措施來看,可以導入的解決方案包括主機安全防護、防制資料外洩(DLP)、及資料加密,透過這3個解決方案交織成的防護網,幫助企業做好對外/內的防護,避免外部惡意人士進到公司系統竊取資料,也防止內部員工有意或無意洩露資料,甚至當資料不慎外洩時,藉由加密技術的保護,讓外部人士看不到內容。
主機安全第二層防護網 用行為分析預防零時差攻擊
防止外部惡意人士竊取資料的方式有很多,最重要的就是保護好主機。目前企業的主機安全防護機制多半做在閘道端,也就是透過IPS、UTM、防火牆…等設備來抵擋外部攻擊,張士龍認為這只是最基礎的防護,仍有被外部惡意人士攻破的風險,尤其是進階持續性滲透攻擊(APT)或零時差攻擊更是難以阻擋,因此必須在主機內建立起第二層防護網,透過行為模式分析來偵測異常連線或是程序(Process)。
主機內有作業系統與AP的服務(如:PRC、Mail…等),駭客透過零時差攻擊取得這些服務的系統帳號(System Account),再利用此帳號去存取機密資料,如果能在每個程式及服務周圍建立起一道防護罩,去定義每個系統帳號可以執行哪些存取行為,並禁止定義範圍外的存取行為,就能降低駭客運用零時差攻擊手法取得資料的風險,當然,如何建立系統正常運作存取原則顯然是成功關鍵,張士龍建議透過系統自我學習機制,瞭解系統正常操作流程與方式,然後建立起標準值,作為日後系統運作的觀察指標。
DLP整合加密 資料管控兼具彈性與安全
至於預防內部員工有意或無意地洩露資料,最理想的控管機制就是DLP。企業在導DLP時最常遇見的問題是,資料分級分類不清楚,一則因為資料跨部門流通,不易掌握流向,二則是不確定哪些資料要納入保護範圍,面對資料分級分類的難題,企業除了尋求顧問協助,還可仿照ISMS資產分級分類的作法,從軟體資產往下延伸列出可能的資料清單。
個資法通過促使企業或組織重視資料保護,包括金融、電信、醫療、政府…等,都計劃透過DLP保護個人資料,同樣的狀況也出現在製造業,只不過,保護重點不在於個人資料而是企業機敏資料,張士龍認為,主要是因為過往有好幾起資料外洩案例,有些是員工沒有安全意識,將企業資料張貼在網站上,有些是員工在離職跳槽時趁機攜出RD資料,製造業在經歷這些慘痛教訓後,高層對資料保護議題的重視度大幅提升,相對也加快相關解決方案的導入速度。
此外,張士龍也建議企業在導DLP時,可以整合資料加密做雙重防護,也讓資料管控機制可以兼顧彈性與安全性。舉例來說,DLP設定禁止員工攜出業務資料,但若公司決策主管外出與其他公司洽談合作案,必須攜出這些資料,此時該怎麼辦?更改設定或打電話請系統管理者放行?如果主管外出洽公頻率密集,這種解決方式豈不是沒有效率!若結合資料加密機制,DLP設定就可更改成某些職階的人可以攜出經過加密後的業務資料,主管複製檔案至隨身碟過程中,系統就會自動加密,即便隨身碟遺失也不用擔心資料外洩的問題。
面對比舊法嚴格許多的法律規範,企業莫不嚴陣以待,就怕不小心觸法得負起巨額損害賠償責任,張士龍認為,除了導入資安解決方案外,在組織面也要有相對應的做法,亦即成立跨部門的個資委員會,定義個資種類、制定個資管理政策…等,同時向決策者爭取預算,如此才能往下進行個資風險評鑑及管控的規劃。
台灣賽門鐵克資深技術顧問張士龍認為,閘道端資安設備只是主機安全防護的基礎,必須在主機內建立第二層防護網,應用行為模式分析的原理才能有效預防外部入侵攻擊。