<2014亞太資安論壇展後報導>處理資安事件 小心別破壞數位證據

隨著個資法、營業祕密法的通過，企業面對法律訴訟的機率增加了，因此在面對資安事件時，除了思考如何加強防禦機制避免類似事件再度發生，更要重新檢視自身的舉證能力是否足夠。

鑒真數位資深鑑識顧問黃敬博指出，過往企業為了避免資料外洩，引進很多資安機制層層防禦，但是道高一尺魔高一丈，最終還是難百分之百防堵不懷好意的內賊或駭客入侵，如今在法律訴訟的風險考量下，除了強化防禦還要思考如何找出造成資料外洩的真正原因，倘若未來可能要走法律途徑，該如何蒐集證據，才能在法庭上立於不敗之地。

綜觀國外與侵權或營業祕密有關的訴訟案件，很多都是透過案發現場的數位證據找出原因，這些證據包含SOC、本機、系統、網路等不同面向的Log，然而目前企業的蒐證工具大多是分批採購，每一個面向使用一個產品，不夠全面。黃敬博認為，比較理想的作法是選擇具備數位鑑識機制的蒐證工具，一來是可以確保找得到證據；二來此類工具多半經過驗證，有既定SOP，企業不用承擔法律責任的風險，換句話說，企業不必擔心找到的證據不具證據力、不被法院承認。

一般企業在處理資安事件時，處理者的念頭通常都是「先讓系統復原，之後再去調查事發原因」，也因此忽略蒐集證據的必要性，忘了思考所使用的工具與方式會不會破壞或污染證據，導致事後找不到證據或找到的證據不具效力。舉例來說，從Log搜集設備取出的Log，很可能因為人員使用的不正確，造成即便是原始資料也不具證據力，又假設Log是明文(clear text)儲存，該如何證實它的連續性與有效性，這往往牽扯到程序與作法、工具應用...等問題。

因此，黃敬博強調，企業在處理資安事件時必須注意以下三點，避免對未來可能發生的訴訟案件造成影響：
1. 確認消失性資料與非消失性資料的封存程序；
2. 選擇一個適合且經過驗證的工具，確保不會污染證據；
3. 利用表單、錄影機...等工具輔助，假設在處理資安事件時，無論採用哪種作法都一定會污染證據，就可把處理程序錄影下來以茲證明。

數位證據是企業面對資料外洩相關訴訟時，取信於法官的關鍵，因此在處理資料外洩事件時，必須兼顧系統復原速度與蒐證必要性，使用正確的程序與工具，才能確保取得的證據具備效力。