個資法已經正式上路,對公務機關來說,遇到個資外洩事件,除負民事責任外,另亦可能負有刑事責任或行政責任,且一旦被判刑法,恐喪失公務員資格,不得不謹慎待之。
現今許多使用者,大都認為安裝防毒軟體後,從此就可高枕無憂,殊不知先有電腦病毒後有防毒碼之出現,且部份軟體屬於灰色軟體,防毒軟體非屬萬能丹,防毒軟體只是資訊安全防護的一環,資訊安全最重要的部份,是「導正」使用者正確的「行為模式」,這是資訊安全政策中,最難執行,也最常被忽略的一環。
「人」往往是資訊安全防護最弱的一環,根據媒體報導,最近警政署查出有員警利用警用電腦連接戶政系統,私下查詢田馥甄、大小S等10多位藝人的個人資料,甚至連林益世妻子彭愛佳也在名單之中,雖然員警沒有涉嫌盜賣,只是單純地無聊八卦,卻已經嚴重觸法,相關人員紛紛遭到記過調職處分,同時警政署也成立稽查小組,不定期查核。
上述,基於好奇心而起的偷窺個資隱私行為,透過戶政資訊系統Log記錄,還能追查到蛛絲馬跡,至於其他沒有資訊系統Log可追查的「另類高風險族群」,像是地方政府所屬各機關的基層承辦人員,基於業務需要必須造名冊,因而經常持有個資電子檔或敏感性電子資料,例如:中低收入戶名冊、巡守隊人員保險名冊、獨居老人名冊、村里文康活動保險名冊…等。
公務機關皆有採購及安裝防毒軟體,不致感染隨身碟電腦病毒,於個人實務經驗中,約有超過70%的同仁及50%資訊廠商人員的隨身碟含有病毒,其存放個資檔案的隨身碟已被偵測出感染(木馬)病毒,這也表示該隨身碟,已經在外部環境使用(例如:在家中作業)且中毒,相關資料可能已經外洩出去,有損人民權益,卻無法可稽查或只能待「東窗事發」再行追究,殊不知,事前的預防及導正,方為釜底抽薪之上策。
資訊安全人員,往往重視資安設備的採購,而忽略了使用者的「行為模式」,資訊安全設備,絕對不是「採購」、「安裝」及「驗收」完成,就可發揮其效用,必須對其所在的資訊環境,配合資訊安全政策,於其營運中,「持續性」對其做適當的調校,才可達到設備應有的功能,並發揮的淋漓盡致。「徒術而無法」、「徒法而無術」皆難周全,故須訂定明確的資安政策,並確保其落實執行。
地方政府IT人力有限 防毒軟體policy設定不符需求
防毒軟體已成公務機關基本的資安配備,然而,多數地方政府轄下機關分散各地(如:隸屬縣市政府管轄的各個區公所、戶政等地理位置皆不同),地方(或中央)並沒有統一的防毒軟體政策,而是開放由各機關自行設定防毒軟體政策(policy),在IT人力吃緊,有時甚由其他非專業資訊人員兼任情況下,每個機關設定人員的水準參差不齊、能力不一,有些甚至不熟操作及設定原理,也無法向廠商描述需求,只能任憑廠商人員協助設定 。(實務上,許多資安設備的共同供應契約資訊廠商,無該資安產品的認證工程師,即進行安裝與設定,並完成驗收,其資安效能堪虞。)
也因此造成地方政府在防毒管理上,常見以下7大問題:
1、 沒有全面性蒐集所屬各機關的防毒日誌:無法掌控全面性的電腦病毒問題。
2、 沒有主動發掘資安問題:沒有主動研析電腦病毒日誌,故無法導正使用者的使用行為。
3、 沒有深入追蹤使用者端的電腦資訊安全問題:例如機關同仁或委外廠商員工使用破解密碼軟體、翻牆軟體、foxy軟體…等。
4、 沒有防範使用者使用違規「特殊程式」:例如防毒軟體並未將(新版)翻牆軟體判為違規間諜程式,但管理者可自行定義並在防毒軟體內做好設定,以防堵違規之使用者。
5、 沒有導正使用者不當行為模式:「中毒率」及「瀏覽高風險網站」比例偏高的使用者,多為資安的潛在性高風險族群,尤其是後者,更意味著其工作量過低,才會經常瀏覽部落格、商業網站及非官方網站…等高風險網站,這些高風險族群有可能導致機關資訊安全的漏洞或造成網路癱瘓。
6、 資安人員偏重資安工具之採購,缺乏「管理與操作」能力。
7、 缺乏電腦病毒「稽核制度」,無法評估(量化)各機關,潛在性的資訊安全問題。
提昇資安管理成效的10個步驟
第1步、事前準備工作:
將基層機關的防毒伺服器,指向所屬機關資訊中心的中央管理伺服器(分公司指向總公司),如此地方政府資訊中心即掌有電腦病毒日誌(logs)。
第2步、成立專案小組:
1、 透過任務型組織,跨局處組成專案成員,達成專案任務。
2、 專案成員應該涵蓋各個專業領域,如資訊、政風、法制、研考人員、專業廠商。
第3步、無預警且首次進行全面性資訊安全稽核及研析:
1、 作法:針對由各機關所彙整而來的病毒日誌進行人為檢視,看看是否有重大違規程式,或敏感性電子資料曾經中毒的記錄,並做成資訊安全報告書。
2、 成效:
(1) 真實性報告最有價值:透過研析電腦病毒日誌,可做出最具真實性的資訊安全評估成果,據此洞悉所屬機關資訊安全問題。
(2) 可查獲重大違反資訊安全、隱私權事件:找出使用特殊違規程式的使用者或廠商,如:分享軟體、翻牆軟體、破解密碼軟體、盗版軟體…等,並研析其行為模式,再透過各機關政風單位、資訊單位予以適當導正或處置。
(3) 找出「敏感性」電子檔的中毒情形,予以適當瞭解及研析處理方針。
第4步、防毒軟體policy設定:
1、 定期預約週期性掃毒:針對地方政府及其所屬機關的電腦,自動開啟掃毒機制,管理者可設定每週或每月的某一日進行掃毒,若使用者電腦沒開機,則掃毒時間將自動順延至該電腦下一開機日的中午12點。
2、 使用者觸發性掃毒:掃毒時間點有二,第一是使用隨身碟或外接式儲存裝置,第二是瀏覽高風險網站時。
3、設定病毒訊息即時傳送之Email帳號:當使用者端有電腦病毒被偵測出時,可即時將中毒訊息傳送至指定之資訊安全管理人員得知。
4、將特殊程式檔名輸入至防毒軟體黑名單中:
部份特殊軟體如:檔案分享軟體、翻牆軟體、遠端遙控軟體…等,並未被防毒軟體歸類為電腦(間諜程式)病毒,但它們可能會威脅資訊安全,此時可由管理者依資安政策自行判斷與定義,手動鍵入這些軟體名稱(如:foxy.exe、u9.exe),並列入黑名單中。
第5步、每月定期對日誌(logs)做分析報告:
1、分析重點:人為檢視日誌有無電腦病毒或特殊軟體,例如:翻牆軟體、破解密碼軟體、P2P分享軟體等,或是從檔案名稱檢視是否含有個資,如:中低收入戶名冊、社團名冊、村里旅遊活動名冊…等,由權責單位之資訊中心將分析結果,定期或不定期提供政風單位,對持有者或使用者之動機,予以導正或其它處置。
2、處理方式:
(1) 對使用違規程式者,透過機關政風單位或資訊單位瞭解,再統一由專案小組決議處理。
(2) 若使用者明顯蓄意使用重大違規程式,直接透過行政程序處理(例如發公文或移送政風單位處理):使用者使用「破解密碼軟體」,應會同政風單位,至現場查核,必要時亦可封存電腦,瞭解使用者使用「意圖」及評估影響層面,再做後續處理。
第6步、資訊安全月報之公告:
1、 公告方式:以公文告知,如此比較容易引起機關高層單位長官的重視,與參與資安政策的執行。
2、 公告分類排名:分一、二級機關、區公所等機關。
3、 公告內容:只公告排名、及各機關被偵測出病毒感染率。
第7步、將資訊安全月報排名評比,納入(區政)考核評分項目:
1、完全彈性化配合考核時程:配合月、季、半年、年度考核。
2、數據具有客觀性、公正性:完全依日誌(logs),具有公正性。
3、評分快速、簡易。
4、評比方法:(中毒個數┼瀏覽高風險網站次數) / 機關電腦台數 * 100 %。
第8步、配合政風單位施行機關安全例行性查核作業,並對虞犯者做資訊安全查核:根據實務經驗,中毒率或瀏覽高風險網站率較高的同仁,其使用電腦的行為模式也會比較特殊,其電腦中所含有的應用程式與檔案資料,也比較容易被發現有異狀。(實務上,本人服務單位多起違反資安事件,即為對高風險使用者做查核作業,而發現之。)
第9步、制定與實施資訊安全政策:
1、有所本:藉以規範使用者使用電腦的行為模式與資訊安全政策。
2、賞罰有依據。
3、定期與不定期配合政風單位,實施機關安全查核。
第10步、防毒軟體的確實設定與管理:
此設定方式雖然會依據防毒軟體廠牌而有所不同,但基本原理是相同的:
1、 集中化組態設定:地方政府須設一台中央管理伺服器,負責管理部署組織的區域網路和廣域網路上的防毒伺服器,此外還能管理其他防毒和內容安全相關的產品和服務。
2、 階層式管理與佈建。
3、 減少網路負載:藉由階層式佈置,大大降低網路負載。
4、 積極的防範病毒爆發:隨時掌握組織內的病毒爆發狀況。
5、 即時通知:設定管理者Email帳號(可多組)後,任一使用者中電腦病毒或瀏覽高風險網址時,皆會即時通知管理者。
6、 與防火牆結合:定期將使用者瀏覽的高風險網址,輸入至防火牆黑名單,藉以杜絕其後續的風險性。
7、 將電腦中毒、瀏覽高風險網站logs之前10名使用者名單,仔細分析其使用電腦之行為模式,如有特殊事件(例如:使用破解密碼軟體),立即會辦政風單位,並將結果簽報首長。
分析防毒軟體Log 不花錢也能掌握資安現況
上述防毒管理改善措施不需要投入額外成本,因為都是使用暨有資安工具,不必再採購軟、硬體設備,惟須投入些許人力與時間。在建置期須發函通知地方政府所屬機關,要求其將防毒伺服器指向地方政府資訊中心的中央管理伺服器,此約莫5分鐘時間即可設定完成,到了維運期,則須投入人力製作資訊安全月報及分析病毒日誌,粗估各須1名人力1天左右的時間,資訊安全月報可用Excel處理排名,節省作業時間。
這種作法不必投注很多成本,但卻可以享有很多效益,包括:
1、 維護人民權益:加強維護及保障人民的個資與隱私權。
2、 避免資安問題,影響機關聲譽。
3、 提高行政效率:
(1)電腦的軟體故障、執行速率慢或網路速度慢,許多因素皆是電腦感染病毒所致,減少了軟體故障率,可提高行政效率。
(2)可阻擋分享軟體的使用率,例如:foxy軟體特性非常耗損頻寬,進而提高(區域)網路有效頻寬。
4、 完全符合防毒軟體集中控管的特性,透過中央管理伺服器來控管佈置於各機關的防毒伺服器。
5、 提高資訊安全程度、降低潛在風險因素:防毒軟體並非百分百可防範電腦病毒,然而,透過Log分析與政風督導改正雙管齊下,可以減少中毒機率,被偵測出的病毒數量愈少,表示機關潛在性資訊風險相對較低、亦較安全。
6、 擴大資安防護的緃深範圍:
(1) 由「點」的各自為政,擴展到「面」的整合:由地方政府及其所屬各機關自行防護電腦病毒,擴展到全面性整合。
(2) 由「淺」擴展到「深」的研究分析。經由分析防毒軟體所提供的日誌,進而找出使用者的行為模式。
7、 管理方式:由非專業式分散管理至專業式集中管理。防毒軟體的操作與設定,須由專業人士或證照者方可勝任,目前由地方政府轄下各機關資訊人員自行操作與設定,有些甚至從不調校、或是不知如何調校。
8、 資安宣導從「無形口號」至「有形數據」:資訊安全宣導,對使用者往往是一抽象的名詞,透過資訊安全月報的公告予以數據化,給使用者具體的認知與警示。
9、 考核具有公平性、客觀性:依據病毒日誌做出的資訊安全月報,其數據具有公平性及客觀性,可作較公平的考核評分。
10、 「被動式」改「主動式」:以往的資訊安全問題發生後,資安人員被動地去解決問題,透過病毒日誌,研析使用者之特殊病毒名稱(例如翻牆軟體、破解密碼軟體),再透過政風單位瞭解使用者使用意圖,改為主動式的發掘資訊安全問題。
11、 人力成本大幅縮減(N個單位縮減至1個單位):
(1) 藉由集中式管理:透過中央管理伺服器集中式發佈各機關防毒伺服器的政策及蒐集Log日誌,管理者由N個機關單位縮減為1個地方政府資訊中心。
(2) 專業能力的提升:目前地方政府所屬機關負責管理防毒伺服器的人,大部份非資訊專才,即便是資訊專才,也甚少有地方政府所屬機關人員能夠熟悉防毒伺服器的policy設定,故透過地方政府資訊中心統一設定policy,可使防毒軟體發揮應有的效能。
12、減少網路流量、增加網路有效頻寬:
(1) 不必各自下載病毒碼:目前地方政府及所屬機關,病毒碼常須各自至外部網站下載更新,假設每天的病毒碼更新為N bits/persecond,地方政府共有M個機關單位,則每日對外網路流量為 N * M,改採階層式管理後,對外網路流量為N bit/persecond,總共減少了N*(M-1) bit/persecond 網路流量。
(2) 由防毒軟體的policy設定,禁止寫入影響資訊安全的軟體,以增加有效網路頻寬。
13、預防性及事後查核改正:對累犯或蓄意違反資安規定者,透過對Logs的研析,並配合政風單位例行性或即時性的機關公務查核,可達到事前預防之效用或事後的改正使用者行為模式。
14、即時性監控防護:可透過系統自動即時Email至資訊安全管理人,隨時檢視有無重大資安問題發生。
15、預防重要資料外洩或不當使用。
16、提升資訊安全重視度:透過資訊安全月報的公告,可加強機關重視資訊安全。
結論
公務機關資訊安全事件中,許多為「隱藏性風險」,例如將公務電子檔案帶回家處理,導致風險性增加,因為家中電腦之資訊安全措施不如公務機關,又如機關(資訊)同仁或廠商員工(具有電腦administrator權限者)使用分享軟體、翻牆軟體,影響頻寬及規避資訊安全軟、硬體設備。
最常見的狀況是,基層業務同仁所使用的隨身碟含有autorun電腦病毒,且裡面還有個人資料檔案,像是中低收入戶名冊、XX年度XX里旅遊保險名冊…等,此種狀況即便被防毒軟體偵測到,惟其隨身碟很「明顯」曾經在家中(或公務機關外)使用過,應是家中(或非公務機關外)電腦,已中隨身碟電腦病毒,而被植入木馬程式,造成公務資料外洩事件或成為僵屍電腦而「不知」。
上述資安案例之發生,然有素養之資安人員及政風人員,視此亦為棘手,致有鴕鳥心態。
透過行政程序為之,以公文函知各單位,由單位將公文通報同仁,特殊性或敏感性資安事件則由專案小組執行,進而提高資訊安全之認知,強化資安教育宣導成效,並提高資訊安全之防護。此外,最大好處是不需額外投入成本,只要做好policy設定與Log分析,再搭配政風單位督導措施,就能改善資安現狀,增加網路頻寬有效性、提高機關首長及全體同仁對資訊安全重視度、提升機關資訊安全聲譽、彌補目前資安設備無法替代「人為」分析使用者中毒或瀏覽高風險網站之風險。
綜上,資訊設備無法防範人為蓄意的違規行為模式,違有透過完善的資訊安全政策,包括「術」與「法」兼備、導正使用者的違規行為模式,及公告資安月報及評比、考核制度的落實實施,才能有效提升使(政府)機關整體資訊安全。
本文作者現任職於某區公所。如您對本文有任何感想,歡迎來信交流:isnews@newera.messefrankfurt.com。