https://newera17031.activehosted.com/index.php?action=social&chash=17ed8abedc255908be746d245e50263a.2770&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=17ed8abedc255908be746d245e50263a.2770&nosocial=1

觀點

小心,商業間諜就在你身邊……

2009 / 08 / 27
錢世傑
小心,商業間諜就在你身邊……
內賊難防,如何做好管控、預防及補救?本文將教您一些小撇步!

案例描述

  連華科技公司(化名),是一家知名的股票上市企業,該公司老闆柯董為了引進科技管理機制,特委請獵人頭公司找尋適當人才,經輾轉介紹後,原任職於競爭對手之小蔡,願意跳槽至連華科技公司擔任資訊部門高階主管。

  小蔡在資訊管理領域屬企業間之佼佼者,柯董得悉小蔡願意跳槽,且要求薪資不高,實在喜出望外,見面後又相談甚歡。經過一段期間後,逐漸信任小蔡,遂將整個公司資訊管理大權交至小蔡之手,甚至於所有人員的帳號密碼也都由其控管。

  沒隔多久,小蔡突然遞出辭呈,柯董訝異之餘,仍以惜才之心,表達其萬分不捨之心情。小蔡離職後,連華科技公司的業務突然大量地遭競爭對手搶走,柯董每天為了追回客戶,像隻無頭蒼蠅般東奔西走,回到辦公室都已癱倒在辦公桌前,望著電腦螢幕,卻想不透為什麼客戶都被搶走了。

  突然,郵件系統收到一封信,柯董打開一看,居然是一封確認收到柯董寄出信件之讀取回條,仔細一看內容,這封寄出去的信居然都是有關於公司客戶的報價單等重要商業機密資料。這件事情可嚴重了,趕緊找來資訊管理部門及法務部門查個清楚,找出系統紀錄檔後,才發現這些信都是寄給競爭公司。為什麼會發生這麼荒唐的事情呢?

  經過調查結果,方得知小蔡又回到原本競爭對手的公司上班,疑似來連華科技公司「臥底」,取得帳號密碼後即離職,並知悉連華科技公司的資訊管理鬆散,所以持續入侵該公司老闆的電腦,並透過電子郵件信箱寄送給小蔡真正效忠的公司,甚至於傳完資料後,立即將商業機密刪除或破壞,所以才會發生這一起老闆拱手奉上商業機密資料給競爭對手的荒謬事件。

管理問題還是系統設備問題?

  常有企業主認為只要花了大筆金錢,就可以獲得資訊上的安全,系統設備的好壞固然攸關於資訊安全的成敗,然而有了好的設備依然不夠,還需要好的管理機制。實務上常發生因為設定上的問題,導致不肖駭客如入無人之境,就如同買了最高級的門鎖,離開家門卻忘了關門一般。最常見的情況就是網站遭插入不明網頁,只要利用「另存新檔」的手段,就能將網站上的檔案置換或插入網頁或檔案。前一陣子,新聞報載某計程車司機下載檔案並將個人資料填入其中後,居然能夠回存至原下載網址,導致原檔案遭置換成為具有其個人資料的檔案,以後每個下載該檔案的人,都能看到這位計程車司機的資料。之所以發生此種情況,問題並非出在於系統不夠昂貴或完整,而在於網路管理人員的疏忽。換言之,系統設備只是前階段的基礎建設,後階段管理人才的培養才是關鍵所在。

離職員工的權限管控

  離職員工入侵是最常見的網路攻擊事件,發生的原因大多是因為被迫離職,導致心生不滿,進而挾怨報復,這種內部人員的侵害,往往對於原任職的企業資訊系統非常熟悉,造成的傷害往往遠高於外部入侵行為,但也因為入侵過於容易,以及發生的原因是基於不滿的心情,所以很容易發現犯罪的足跡。以本案例來觀察,小蔡擔任商業間諜,入侵柯董的電腦系統,再由柯董的電子郵件系統將商業機密資料寄回,不小心設定成信件要「讀取回條」,而擔任間諜的競爭對手,居然還按下讀取回條的按鈕,才讓柯董「意外」地發現有人利用自己的電子郵件傳送機密資料,這種入侵者也實在太糊塗了。

  筆者過去亦曾偵辦某家知名網路公司遭離職員工入侵案,該公司聘雇的執行長居然還身兼網管一職,而且公司的網管人員只有一人。你可以想像如果公司將其革職,引發其不滿,會導致什麼結果嗎?

  這家公司足足兩個月沒辦法恢復正常運作,因為整個系統都被毀了,連電腦存取紀錄檔都被胡亂竄改,慘不忍賭,其損害實在難以估計。由此可知,離職員工的權限管控相當重要,只要員工離職後,就應該依據公司政策將員工的帳號停止使用,如果資訊系統缺乏橫向的連結,也要特別注意讓各個部門都知悉該名員工已經離職,因為可能每個部門都有不同的系統,如果只停掉一個帳號權限,可能還會殘留許多其他未知的權限。常見企業的員工已經離職多年,居然還可以使用原有的帳號密碼進入公司系統,實在不可不慎。

竊取商業機密犯了什麼罪名呢?

  小蔡竊取連華科技公司的商業機密資料,可能觸犯刑法第36章妨害電腦使用罪章中之第358條「入侵電腦系統罪」及第359條「違反保護電磁紀錄罪」,本條屬告訴乃論罪,須由連華公司提出告訴後,執法機關才能受理偵辦。另外,依據民法規定,當然還有民事上的損害賠償責任。此外,如果竊取的資料符合營業秘密法第二條「營業秘密」的要件,並具備同法第十條的犯罪行為,依據營業秘密法第十一條至第十三條規定,必須負擔一定民事上的責任,不但須賠償所受損害,還必須賠償所失利益。

  其次,數位資料的蒐集具有專業性,加上數位資料稍縱即逝,調查局設有電腦犯罪偵辦科偵辦此類案件,可提供專業之協助。在講究證據的時代,必須經由嚴謹的蒐證程序,所採集的資料才能作為呈堂證供,否則可能會遭到法院排除證據能力之命運。蒐證的部份固然該由專業司法機關或民間鑑識機構進行,惟企業內部也須建立一套資安事件應變程序 (Incident Response Procedure)。有了標準的應變準則作為參考依據,每位員工在其崗位遇到類似資安事件時,便能夠做出基本正確的應對,將資安事件對企業所帶來的風險降至最低。當然前題是資安事件應變程序在公司內是必需要徹底的宣導並定期的實施演練,如此才能發揮其保護企業的最大效率。

遭刪除的資料還是可以還原

  資料, 往往是企業的命脈。以美國知名企業CardSystems Solutions為例,該公司負責管理VISACARD、MASTERCARD等客戶資料,竟遭駭客入侵竊取,多年信譽毀於一旦,顯見資料的管理與安全維護,攸關一個企業的未來發展。近年來,又發生多起駭客入侵資料庫後,惡意加密資料庫的檔案,再向受害業者勒索,不給錢就不給密碼,這些案件的發展,顯見資料的維護是多麼的重要。目前企業間普遍存在著輕忽的心態,總是認為自己不會是那個倒楣鬼,認為資訊安全的工作沒有具體的獲利,根本不願意投入大筆的資金建構更安全的系統。實際上,企業可以試看看,如果不買防毒軟體、反木馬軟體、防火牆等資訊安全設備,可能導致收入銳減之嚴重後果。因此,資訊安全設備固然不是直接影響企業獲利的直接因素,但卻是影響企業獲利的重要間接因素。

  如果企業發生資料遭到破壞的情況,實際上仍有還原的機會。從資訊基本原理觀察,電腦資料或檔案即便遭到刪除或修改,實際上只是被做記號,這個記號代表的意義是說,原本存放檔案資料的空間將開放出來,新的資料可以存放進去,覆蓋原本的資料,在還沒有新的資料覆蓋前,原本的資料仍然存在。所以,只要新資料尚未覆蓋前,仍有還原的機會。

但是,誰能幫助你還原電腦資料呢?

  以英美等國的經驗來說,國外專業電腦鑑識公司林立,企業會先尋求律師的協助,透過律師代為尋找專業的電腦鑑識公司進行證據保全與資料還原。反觀國內,目前尚未有專業的電腦鑑識公司,本局目前正著手建置專門的電腦鑑識單位,已經具備偵辦刑事案件的電腦鑑識服務,未來將擴張至民事電腦鑑識服務之範疇。

  但是,即便有專業的鑑識單位,讓資料有被還原的可能性,受害企業於第一時間內仍應建立證據保全的觀念,切莫為了趕緊恢復正常運作,就把資料破壞殆盡,或許能暫時解決系統運作,但卻無法再使資料還原,犯罪現場也遭到破壞。筆者也曾偵辦過某知名金融業者,資訊管理單位在遇到入侵事件後,唯一的作為就是湮滅遭入侵的罪證,深怕被消費者或投資人知悉此一消息,而導致民眾信賴度與股價受到雙重影響,這種鴕鳥的心態實在不可取。

良好的資訊管理,是維護資訊安全的重要道路

  一個優良的企業,要能獲得消費者與客戶長久的肯定,就必須維持穩定可靠的表現。現在企業多依賴資訊設備,除了採購好的資訊安全設備,良好的資訊管理,更是企業長久的紮實根基。本文一開始所提到的案例,正點出許多企業疏忽離職員工權限管理的問題,就好比租房子給房客,房子收回不租後,並沒有更換鑰匙,以為將鑰匙取回就不會有問題,殊不知這位房客早就偷打幾份,分給不同的竊賊,導致家中屢次被偷而找不到原因。離職員工的權限管理也一樣,原本的帳號應該要徹底刪除,切莫直接轉交新員工,如果新員工延續前任員工的「懶人密碼」,這種密碼恐怕將被戲稱為「公開的秘密」。

  創業維艱、守成不易,只要一發生資安事件,損害都非常慘重,本文提出一些資訊安全管理上的觀點,透過實際案例的分析,希望能夠提供企業界一些建議與反省,無論你買了多少昂貴的資訊安全產品,不論你的公司今年賺了多少錢,若是沒有配合好的資訊安全管理機制,只要發生一次的重大資安事件,就可能讓你過去所有賺的錢都付諸流水。看完這篇文章後,請記得找來相關部門主管,檢討內部的管理機制有沒有類似的問題,以防範商業間諜的入侵。