機密或敏感性資料一直以來都是企業、組織以至一個國家的重要資產,但是嚴格來說資料防外洩系統在國內還是直到新版個人資料保護法的制定與推行才開始漸漸受到重視,當時專家還曾預估個資法會帶來一波資安產業的商機,不過新版個資法公告實施兩年下來,似乎是雷聲大雨點小。
據觀察除了政府單位因配合政策所以優先導入資料防外洩產品(Data Loss Prevention,DLP)外,積極導入完整DLP的私人企業還是少數,且其中又有許多是採局部性、基礎功能導入,保守觀望意味仍濃。探究其原因,一來是目前為止幾起企業發生的個資事件並沒有引來集體訴訟和鉅額賠償,頂多是金融業被主管機關以銀行法第45條之1第1項:未妥適建立資訊作業管理之內部控制制度而處以數百萬元之罰金,其他行業並無相關的規定或是處罰先例,所以完整的防護措施看起來沒有那麼急迫,只要先求「有」就好,如同騎機車挑個最便宜的半罩式瓜皮安全帽可以不被警察開單,就已算是可滿足現階段的避險需求;二來是導入完整資料防外洩系統的金額及複雜度都不低,也聽聞有金融單位投入高額預算採用國際大廠產品但專案延宕許久遲遲無法驗收的案例,更何況是其他資源有限的企業,在規劃資料保護方案時難以拿捏該做到什麼程度,面對市面上眾多號稱可保護個資的產品而無所適從。
重新審視資料安全防護
也許現階段個資法還處於窒礙難行的階段,個資外洩所帶來的後果沒有當初想像的嚴重,但是可能被洩漏的資料不是只有民眾的個資,企業的營業秘密、智慧財產一旦外洩所造成的損失對企業來說是立即有感的,所以最近企業詢問DLP如何用來保護營業秘密的比例有增加的趨勢。
廣義地來看待「防範資料外洩」這件事,其實並不只是DLP產品的工作,其他許多資安軟硬體、管理制度都在其中扮演輕重不等的角色。在決定採用甚麼樣的資料安全防護手法之前,通常會建議先花一點時間審視目前對於資料保護的需求為何,畢竟每個單位的需求都不盡相同:
1.需要保護的資產對象
個人資料檔案: 在檔案中最常出現的個資通常以文字資訊呈現,且都有特定模式,比方說:姓名、身分證字號、電話、地址等,所以最常見的偵測方式就是以正規表示式來判斷是否為個資,但此法精確度較低容易誤判,且無法分辨是否不屬於蒐集、處理範圍之公眾人物姓名、公司行號地址電話等。較佳的作法是直接對已蒐集之個資檔案或資料庫進行指紋碼學習,以特徵指紋碼來偵測的精確度高但較耗系統資源。
營業秘密:沒有一定的模式,可能是文字,可能是設計圖或影像圖片,也或許是程式碼,早期的做法是攏統的以檔案的格式種類或內容關鍵字來偵測,比較進階的方法則是對所有含營業秘密之檔案進行指紋碼學習。
2.威脅來源
內部員工:包括於內部工作的外包人員,可能因無意的疏失或是惡意將資料外洩。
合作夥伴:上下游廠商,可能因無意的疏失或是惡意將資料外洩。
不友善第三者:競爭對手、職業駭客、敵對國家網軍,這就不用解釋了,來者不善一定鑽盡各種漏洞來竊取資訊。
3.弱點
網路管道未加以管制:舉凡Email、Web、FTP傳檔、即時通訊、遠端桌面、雲端服務等等,尤其現在主流雲端服務都已採用HTTPS加 密通訊,更增加通訊管制的難度。
透過端點使用的實體資料載具未加以管制:像是USB移動儲存設備、光碟燒錄機、記憶卡、行動裝置,列表機也是。
儲存資料未加以妥善防護:例如資料庫、檔案伺服器未妥善進行存取控制,檔案未加密。
(本文作者目前任職於叡廷股份有限公司 產品經理一職)
[繼續閱讀:資料防外洩產品的選購重點建議]