資料銷毀可說是資訊安全的最後一哩,也是最容易被企業忽略的環節,實務上經常看到企業沒有確實銷毀資料導致機密外洩的情形。在《資安人》84期「企業資料銷毀盲點 缺乏使用年限與SOP」文中,談到企業資料銷毀上常見問題,以及如何建立資料銷毀流程,接下來將進一步探討資料銷毀的方式,像紙本文件可以放進碎紙機、請文件銷毀公司或資源回收廠來處理,電子資料可以透過覆寫、消磁、物理破壞等方式刪除資料,哪種方式最安全有效?企業該如何選擇與評估?本文將做更詳細的報導。
實體文件銷毀 少量用碎紙機 / 大量委外處理
先就紙本文件來看,通常印有機密資料的文件在使用完畢後,理應放進碎紙機攪碎,這是風險最低的作法,但實務上卻很難達成,員工經常因為工作忙碌而忽略碎紙動作,又或者文件使用後就隨手置放在桌上,長期積累下來,待銷毀文件的數量變得相當可觀,可能得花一天(甚至超過一天)的時間才能銷毀完畢,在日常工作繁重情況下,員工當然不可能捨棄工作專注在碎紙(雖然這很重要)上,最後只能委由專業廠商或環保公司(或稱資源回收業者)來處理,此時,就得注意委外處理過程是否夠嚴謹,否則資料很可能因此外洩。
專業廠商乃指專門在處理文件銷毀的業者,只要上網Google文件銷毀,就能看到許多提供此服務的廠商,環保公司則是回收與清運各類廢棄物(如:紙、鐵、電腦…等)的公司,這兩者都能提供文件銷毀服務,但在風險管控上的做法卻不盡相同,企業可以此做為是否採用的評估依據。
委外處理風險高 廠商內控很重要
浤誠企業業務經理王俊欽進一步解釋,文件從收取、運送、到銷毀三個階段都隱含資料外洩的風險,委外業者如何制定作業模式,以管控與降低這些風險,是企業評估要不要採用此服務的依據。舉例來說:收送待銷毀文件的貨車為開放式還是密閉式?倘若為密閉式,是否可以上鎖?開放式貨車在行駛途中,很容易因為風大導致文件散落路面(之前就曾發生過這樣的案例),兩相比較下,密閉式貨車的風險顯然低於開放式。又如:貨運人員是否會穿制服或配掛識別證,企業客戶並不認識收送文件的貨運司機,如果沒有相關的識別機制,只憑口頭一句「我是來收取要銷毀的文件,」很容易出現交付錯誤的窘況,之前就曾經發生同一家公司甲、乙兩部門各自找來A、B廠商收取待銷毀的文件,結果A廠商原本應該收取甲部門的文件,卻誤搬走乙部門的待銷毀文件,倘若今日不是廠商搬錯文件,而是有心人士偽冒成貨運司機,機密資料不就輕易地外洩出去!
比較嚴謹的作法,除了使用封閉式貨車、要求貨運司機身著制服(或配戴識別證)、在貨車安裝衛星地位設備以確認其行徑路線…等,也可結合條碼確認文件收送的正確性。通常,企業會將待銷毀文件裝箱置放在角落,等待委外業者前來收取,貨運司機出發收送文件前先領取條碼,到了取貨點的時候,與企業客戶一同清點,並在箱子上一一貼上條碼,將銷毀文件(如:內容、數量)與條碼編號註記在銷毀單上,交由客戶簽名確認,回到公司後再由同事以Barcode Scanner掃描條碼,確認文件的正確性,之後才能進入下一步銷毀流程。
機密文件不會因為準備被銷毀而變得不重要,但使用者常有一錯誤認知:「反正那些資料都要被銷毀了,不會有人要,」因而忽略文件銷毀過程中風險管控的重要性,王俊欽認為,對企業而言,待銷毀文件本身就是一種風險,必須納入風險管理的範圍,以委外業者的內控機制是否符合自身風險管控政策,作為採用與否的依據,而不是單純以價格高低來做決定。還有,作業流程是否與國際接軌,如:NAID(National Association for Information Destruction)建議的標準作業流程,或是有沒有取得認證,像日本的文件銷毀服務驗證,都是評估因素之一。
此外,新版個資法要求企業負起舉證責任,企業亦可要求委外業者提供,銷毀過程的影像資料,記載箱號、數量與內容的銷毀證明書作為記錄,或是從委外業者的內控機制去思考可以提供哪些證據,畢竟每一家的做法不同,可以提出做為證據的種類也不同。
浤誠企業業務經理王俊欽認為,企業應以委外業者的內控機制是否符合自身風險管控政策,作為採用與否的依據,而不是單純以價格高低來做決定。
文件銷毀另一種選擇:紙廠水銷、環保局
當然,有些企業或許認為,交給委外業者銷毀文件風險高又要花錢,不如派員工輪流專職處理碎紙工作,但這未必是比較省成本的作法。假設企業有30箱廢紙,每箱各有5,000張,碎紙機一次可攪碎20張紙,總共要執行250次才能碎完1箱廢紙,倘若每一次攪碎的時間為10秒,換算下來,1箱廢紙要花41分鐘才能銷毀,30箱紙就要1,230分鐘,相當於20個小時,而這還只是時間成本,其他像人力、電源、碎紙機報修或重新購置、以及碎紙機運作時產生惱人噪音…等成本尚未計入其中,兩相比較之下,碎紙機碎紙的成本未必低於委外服務。
企業若有大量文件需要銷毀,又無力投注太多成本的話,其實還有其他選擇,也就是送到造紙廠進行水銷,或委由各縣市政府環保局編製下的焚化廠來處理。焚化廠的廢棄物焚化服務,必須事先提出申請且自行運送至焚化廠,並依重量酌收處理費用,至於造紙廠水銷服務通常免費提供,以水溶方式將紙張銷毀變成紙漿,惟缺點是必須自行送到紙廠,而且可能會有以下三種風險:第一、分段式銷毀服務,一般企業不會自建貨運車隊,只能委由貨運業者運送待銷毀文件,在收送與銷毀分屬兩個不同業者下,倘若發生資料外洩事件,不易釐清責任歸屬;第二、運送過程中可能會有資料外洩;第三、不能確保每一張紙都會被銷毀,因為文件送進紙廠後,不會立即丟進水銷溶解槽,而是先放在等候區,等時間到再啟動設備,在這過程中,誰負責將紙張丟進溶解槽?有多少人可以接觸文件?接觸方式為何?舉例來說,貨運司機為求效率,卸貨時將廢紙整捆丟在地上,捆綁廢紙的繩子可能因此斷裂,導致文件被風吹走。無論焚化或水銷,企業最好派員全程跟隨,監督紙張從收取、運送、到銷毀各階段作業流程,才能杜絕資料外洩的風險。
電子資料銷毀
隨著企業E化發展,愈來愈多紙本文件轉成電子檔案,存放在硬碟、磁帶、光碟、隨身碟…等儲存媒體中,尤其硬碟與磁帶更是企業存放大量資料的不二選擇,但是當它們壽終正寢、準備報廢與汰換時,企業卻總是忘了先清除資料,潘朵拉科技技術經理王德凱認為,造成此現象的原因在於認知不足。他進一步解釋,電子資料的生/老/病都是由IT部門負責,到了最終死(亦即報廢)的階段,卻變成總務來處理,其資安觀念自然不若IT部門充足,倘若有壞掉的電腦、印表機…等,第一直覺就是送交報廢或回收處理,甚至連低階格式化也忘了做,自然容易流失機密資料,上期文章中便曾提到英國某電信公司做的實驗,從網路上買來的300顆二手硬碟裡,34%儲存著機密資料,顯見電子資料銷毀已是企業做好資料保護最重要的議題。
硬碟銷毀四種方式:低階格式化、軟體覆寫、消磁、物理破壞
就目前企業使用最頻繁的硬碟來看,目前共有4種資料銷毀方式:低階格式化、軟體覆寫、消磁、物理破壞。消磁意指消除儲存媒體磁性,使儲存媒體無法再被重複使用,這種做法僅適用於硬碟與磁帶;覆寫乃是透過軟體,將儲存在硬碟中的資料更換成預先設定好的資料範本,藉此確保資料無法復原;物理性破壞就是讓儲存媒體變形、粉碎、融化、切成條狀…等,使其無法再使用。
潘朵拉科技業務經理黃啟宏表示,無論低階格式化或軟體覆寫都有共同缺點,那就是耗時過久,美國國防部所訂資料銷毀標準程序DoD 5220-22.M,要求在銷毀資料時必須覆寫3次亂數資料,NSA則規定覆寫7次,最高標準Gutmann則要求35次,覆寫時間會隨著硬碟容量而增加,硬碟容量愈大、覆寫時間愈長,(甚至以TB為單位),要將硬碟完全覆寫可能得耗去0.5~1天的時間,倘若報廢硬碟數量龐大,根本不可能採用此種方式銷毀資料。
至於物理破壞的缺點則是很難制定標準SOP,它受到人(銷毀者)的因素影響很大,也很難量化工作績效。而硬碟消磁方式雖然快速方便,約莫20秒就能成,卻有著價格不斐的缺點,一台消磁機售價從數十萬到數百萬,而且市面上提供消磁服務的業者並不多,對於中小型或硬碟汰換頻率較低的企業而言,比較不具投資效益。笠美科技總經理宋明吉指出,也可從硬碟是否要繼續使用的角度,思考該用消磁或是軟體覆寫的方式刪除資料。像有些政府單位會定期將廢棄電腦送到偏遠地區,此時就得用軟體覆寫方式刪除資料。
笠美科技總經理宋明吉建議,企業也可從硬碟是否要繼續使用的角度,思考該用消磁或是軟體覆寫的方式刪除資料。
最後要提的是,上述4種方式皆難以保證已將資料徹底刪除,隨著硬碟廠商製造技術日新月異,硬碟不僅價格日趨便宜、容量變大,也愈來愈耐摔、抗震、防磁、且堅固耐用,相對地增加銷毀難度,市面上某些資料復原軟體公司甚至強調,只要不是泡水的硬碟,都有辦法將資料救回來,顯見要將硬碟資料完全刪除並不是那麼容易,比較理想的做法是,日常工作時可在電腦中建一個刪除資料夾,若確認某份機密檔案已沒有使用必要性,便丟至刪除資料夾內,利用軟體覆寫的方式清空該資料夾內的資料,倘若沒有覆寫軟體,只好退而求其次在刪除檔案後,立即清理資源回收桶,等到之後汰換或報廢硬碟時,先經過消磁處理再施以物理性破壞,最後將硬碟送交資源回收廠處理。
王俊欽強調,現今的磁碟組成乃是由碟片一層層堆疊起來,單用消磁處理未必可以確保每個碟片都能被消磁,而且即便消磁後,只要磁盤不被打開,還是有機會把資料救回來,因此硬碟消磁後再施以物理性破壞,如此方能確保資料已經徹底刪除。
消磁機廠商各有特色 電磁波強度、認證、管理系統任君挑選
就上述4種方案來看,消磁是比較兼顧效率與資訊安全的選擇,錢隆科技業務部專案經理賴崇銘表示,消磁機原理是,運用比硬碟抗磁度還要高的電磁波,改變磁粉沾覆的地方,使硬碟找不到磁片讀寫的起點,也就無法讀出連續性資料。換言之,電磁波數值(毫高斯)愈高,消磁成功率愈大,硬碟資料復原機率就愈低,因此,企業在評選消磁機時,可以考量以下幾個因素:消磁機設計結構、充磁時間、所能釋放的電磁波數值(毫高斯)、有無安全認證、有無管理系統。
宋明吉指出,消磁機的結構主要分成2種:線圈式與永久性磁石,永久性磁石的消磁機價格較為昂貴,且電磁波值會隨著時間與使用次數而漸漸變弱,到最後只能破壞硬碟部份區域的磁力線,無法確保硬碟已消磁成功,因此,現今大多數消磁機都是線圈式設計,但各家產品所能釋放的電磁波數值、充磁與消磁時間…等皆有所不同。
若進一步就線圈式消磁機來看,各家產品主打的特色皆不同,笠美代理的Kroll Ontrack共取得CESG、NSM、CCTM、NEMKO…等認證,藉此確保產品的資安防禦能力、及避免電磁波對人體的影響,至於錢隆代理的ADC則採用傾斜式設計放大磁力,把原本1,000毫高斯放大到1,500,提高消磁成功率,而且產品符合US DoD552022M、NIST800-88、CSIA、OGCIO…等國際標準,至於潘朵拉代理的ORiENT則強調自行研發管理軟體。黃啟宏表示,管理軟體的好處在於方便留存記錄,包括消磁者姓名、消磁日期、消磁硬碟的資產編號/序號/廠牌、消磁時的電磁波強度…等都要留存記錄,以因應日後的稽核需求。
最後,賴崇銘建議,企業應強化硬碟管理方式,從買來就要編製資產序號,並在資產報表上註記清楚,如:給哪名員工使用、有無被銷毀…等。他進一步指出,企業在硬碟管理上常見的問題是,當硬碟讀不到資料的時候,直接請委外廠商來處理,為了維持營運不中斷,廠商會直接拿新的硬碟來更換,並將舊硬碟帶回去處理,然而硬碟可能只是故障(如:壞軌…等)並非損毀,稍加修復就能繼續使用,但廠商通常不會再送回去原來的企業,原始硬碟裡的資料也就流落在外,因此,硬碟故障的處理程序應與報廢時相同,也就是消磁、物理破壞、最後送進回收廠,如此才能有效降低資料外洩的風險。
錢隆科技業務部專案經理賴崇銘指出,企業應強化硬碟管理方式,從買來就要編製資產序號,並在資產報表上註記清楚,如:給哪名員工使用、有無被銷毀,如此才能有效降低資料外洩的風險。
上述各種資料銷毀方式並沒有絕對的好與壞,企業需視資料機密性與風險值,還有日常的作業方式來選擇,無論企業採用哪一種方式,最重要的是留下記錄,在銷毀過程中全程錄影,詳明載明銷毀資訊,並要求相關工作人員簽名以示負責,倘若委外處理則須派員全程監督,或是在委外合約中註明該有的責任歸屬,並定期稽核委外廠商的資安機制,才能避免資料在銷毀過程中不慎外洩,導致資安防禦功虧一簣。