引狼入室的委外風險

多數組織裡面經常都會有承包商與顧問。為了要提升能力而導入的第三方，可以為組織帶來非常靈活的彈性。承包商是重要的資源，可以為公司注入技能與活力，幫助公司完成短期的任務需求與解決最複雜的問題。然而承包商同時也為組織帶來了許多的風險。

為了讓承包商在被聘用之後完成我們所分派的工作，他們必須要能夠連結到組織內部的網路服務與資料。他們經常會存取到非常敏感的企業資料，包括同業秘密、策略計畫與其他的智慧資產。而且組織（通常急著雇用第三方以獲得協助，或者只是因為人手不足）可能也沒有充裕的時間或資源，能夠進行適切的監督。前面提到的這些都會增加意外遺失或者惡意竊取資料的風險。

不過組織也不必因而討厭雇用那些能夠幫助公司進步的外面專家。有許多方法可以讓組織將與承包商合作有關的風險降至最低。包括監督、存取控制、設立與實施有效的政策，以及技術性解決方案等。採取這些預防措施，將有助於確保承包商不會變成你們公司的負擔。

與承包商走太近不是好事

雖然組織都會在周邊佈署強健而有效的安全防護網，不過當我們雇用了承包商並允許他們從內部或外部進入網路時，這些安全架構都將會失去其效用。一旦身處於安全防護網之內，他們便能夠自由存取公司的系統與網路，而且通常不會受到太多的監視。

許多時候，承包商只會被短期雇用，也不一定都會遭遇到跟面試新員工時一樣嚴格的遴選程序，而且通常都是因為公司內部資源不足或者公司本身能力有限而被聘僱的。無論是哪一種情況，承包商都會立即被擺到應該算是最有權力的那個位置，因為他們的專業能力通常都凌駕於任何的正式員工。

總而言之，承包商通常都是被雇用來執行非常機密的工作，比方說程式設計、系統管理，以及網路安全。

除此之外，有趨勢顯示，與第三方合作的時間越長，將可能加重這樣的風險，Bayer的資訊安全長Pete van de Gohm說道：「較長時間合作的承包商可能會被公司內部與外部的人士誤以為是公司的正式員工。」這種親密關係容易導致公司給予承包商過多的權限，多到甚至可以存取許多機密的資訊。

隨著時間過去，對於個別承包商的持續信賴將會增加組織的風險，顧問也會越來越難決定是否要進行置換或者終止─這種現象叫做「依賴風險」（dependency risk）。隨著與承包商的關係變得越來越根深蒂固，就會產生越來越疏於監督的傾向。隨著依賴程度的擴增，不肖承包商可能會利用公司的過度信任，威脅要與公司終止合作或者做出提高金額等惡行。

當然了，永遠都會有以短期合作當成偽裝的竊賊，目的是要滲透到組織裡面，然後偷取資料或者從事商業間諜活動。

委外風險應變對策

要應付承包商風險，最符合邏輯的第一步，就是進行風險評估。需要確認的項目應該包含威脅、弱點、影響，以及承包商引發危安事件的可能性。

減輕風險的最好辦法就是知道得多一點（在聘僱之前先利用諸如背景調查等方式來進行審查）與有效的監督。是誰在監督承包商，監督者是否真的瞭解承包商的做事成效？換句話說，管理者是否具備欲外包領域的技術能力？能夠監督並瞭解第三方的工作，將有助於降低風險。

除此之外，監督事項應該包含系統使用情況的監控、定期的狀態回報，以及目標和里程碑的建立。不過真正在監督時還是應該根據承包商的工作內容，以及所處理的資料機密程度而定。

不要提供足夠安全的檔案傳輸能力，將可以確保不會衍生額外的風險─因為足夠安全的檔案傳輸形同鼓勵承包商使用不安全的方式來處理機密資料，例如下載大量資料到他們的本地端硬碟上，或是透過未加密的明文電子郵件來傳送資料。這兩個動作都會暴露組織的機密，不過就算是提供安全性十足的檔案傳輸，相信承包商在執行指派任務時的作法還是會一樣。

透過存取控制降低風險

存取控制是承包商安全管理的關鍵一環。第三方對於重要系統與資料的存取權限，必須要低到只夠完成指派的工作。這就是「最低權限」（least privileges）的概念，也是限制承包商視野的重要作法，進而控制未經授權資訊被存取的風險。

然而，鬆散的資訊（例如電子郵件裡面的資料）眾所周知是很難保護的，因為缺乏傳統資料庫的存取控制，而且這些資訊又很容易被轉送給組織內部和外部的其他人。因此，存取控制也應該從資訊的觀點來看，而非單從系統的角度出發。也就是說，不僅要控制對於系統的存取，還要限制對於特定資料集的存取。舉例而言，不要讓承包商存取會計系統，但是可以讓他們存取幾個他們被分派處理的特定帳戶。

這意味著需要控制資訊的存取，根據Pershing LLC（The Bank of New York的子公司）資訊安全副總裁Dan Kennedy的說法，在開發應用的時候尤其如此。「在開發時最好使用國外的承包商。因為工作所需，他們將會進行大量的存取，」他表示。

有些組織不讓契約開發人員存取真正的資料，可是除了這些資料之外，測試中或者開發系統的資料根本就付之闕如。

「對於某些組織而言，複製真實資料來作為測試資料是相當常見的，」BSC Services主管安全及業務連續性的副總裁Tony Meholic表示。「如果你打算導入承包商的話，你就必須發展一些測試資料。你可以複製真實資料，然後改寫客戶的個人資訊，讓這些資料無法被用於測試之外的其他地方。」

除了限制存取之外，組織也應該建立承包商的使用者帳號，這種帳號會在短時間之後自動過期失效，如此可以強制雇用的主管重新為承包商申請存取權限。

重新驗證所有的存取權限是個不錯的方法，可以強制系統管理人員移除那些不再需要的權限。大型組織裡面的承包商在完成指派的工作之後，經常還會在不同的部門之間輪調，但是系統存取權限卻通常還維持不變，Bayer的van de Gohm指出。

「強制雇用的主管重新申請存取的權限是個不錯的控制手段，可以確保長期承包商在轉換主管的過程當中被定期地重新評估，」同時也確保他們存取資料的權限符合他們當時的角色，他說。

好的政策要落實才有效

組織可以建立與實施IT政策與程序來規定保護資料、偵測異常資料存取、回應可疑事件，以及管理承包商聘用（比方說明訂必須監督所有承包商員工所需的權限）的最佳作法。

除此之外，政策也應該定義組織內資料保管者的概念，並且讓承包商清楚知道該角色與他們的關係。資料保管者具有存取權限，有些更具備管理資料的權力，但是他們並非資料的擁有者。政策應該列舉出資料保管者的明確責任，包括維護資料的機密性，以及不能夠複製或散佈這些資料。其他可能的政策還包括在下載或傳輸公司資料時，必須使用防毒與其他防護措施，而且不能夠洩漏密碼。

Verizon Wireless的IT資訊安全工程主管Barbara Buechner指出，與承包商的協議裡面應該包含特殊的條款，以保證他們承認、接受，並且遵循公司的政策。

「兩個你最重要的工具，就是你放在合約裡頭的條款與細則，以及你必須要能夠定期重新分發存取權限，」van de Gohm補充道。

技術性解決方案

透過網路來進行控制有許多明顯的好處。Pershing的Kennedy建議組織透過遠端存取來建立虛擬的桌面環境，藉以在網路上限制和控制承包商的活動。「這樣的系統算是角色式存取控制概念的衍生，」他表示。

市面上有許多種類的工具，可以協助在網路上進行承包商活動的管理，並且保護智慧資產。舉例而言，端點安全產品（例如ForeScout Technologies的CounterACT）提供了許多的功能，可以協助解決一方面要控制承包商的存取權限，一方面又要給予承包商完成指派任務所需的自由度的兩難狀況。CounterACT的運作並不需要搭配代理程式軟體，方便管理人員建立無須附加到基礎建設之內的虛擬訪客網路。CounterACT可以隔離使用者，並且限制他們只能夠存取定義好的服務集（例如對外的網路連線）。

「作為無代理程式軟體的解決方案，CounterACT在控制網路內使用者的活動方面是非常有效率的，對象包括從家裡PC透過VPN連線進來的訪客，」ForeScout的副總裁Ray Wizbowski表示。

同樣地，Symantec的網路存取控制也提供了不少功能，包括封鎖或隔離網路上的使用者，以及執行主機健全度檢查以確認系統修補程度與病毒碼上次更新日期的能力。其他的端點安全產品還有F5 Networks的FirePass、StillSecure的Safe Access，以及Nevis Networks的LANenforcer。

另一方面，資料漏洞預防工具（例如Tablus的Content Alarm）則可以協助組織掌控機密檔案。Content Alarm可以讓使用者建立政策來辨認機密資料檔案，並將之標示為「機密」以防止被複製或列印。這是個很有用的控制方法，可以防止承包商將資料複製到USB隨身碟或是其他容易遺失或遭竊的可攜式媒體裝置裡面。此外Content Alarm還可以在機密檔案要透過電子郵件傳送時自動予以加密。

資料漏洞預防市場上包括PortAuthority Technologies（今年稍早已被Websense併購）在內的其他供應商，則同時提供了可以控制工作站與主機上的資料以及傳輸中資料的軟體與設備，而且還能夠限制資料到外部媒體（包括USB隨身碟）的複製行為。

不過對於大部分的組織而言，承包商安全的解決方案似乎還需要更多的技術。BSC Services的Meholic便提出警告，「無論問題是否屬於資訊安全的範疇，絕對不能夠完全只仰賴科技。你還需要用來驗證的政策與程序，以及預告危安事件可能發生的通知。」

無止境的挑戰

伴隨著承包商而來的風險不可能完全消除。也許可以這麼說，絕大多數的技術控制都是以有效的方式使得在大部分的情況之下，我們在某些時間內不希望發生的事情都不會發生。不幸地是，即便是最佳的控制遇上了最差勁的行動者（讓你夜裡擔心受怕得睡不著的那些人），最後仍會被找出攻陷的方法，只要有足夠的時間、運算能力與金錢。

技術的更迭讓這場挑戰永無休止之日。舉例而言，一些新興趨勢（例如越來越多的廉價而且隨處可以存取的無線頻寬）使得承包商可以獲得高速的網路連線，讓你無法監控或限制他們。在我們的基礎運算平台裡面，技術變化的速度以及永遠都有漏洞被發現，將持續給予資訊安全管理人員壓力，讓他們重新評估風險並且改善控制能力。

Paul Rohmeyer是Stevens Institute of Technology Howe School科技管理學院助理教授，同時也是獨立的資訊安全管理顧問。


承包商的突搥記事
此處列舉了一些承包商所導致的危安事件，狀況不外乎遺失、竊取或者意外暴露了客戶資料。

資料來源：美國隱私權益資料中心

危安事件

2006年2月16日

Blue Cross and

Blue Shield of Florida：

承包商將現職與離職的員工、供應商與承包商的姓名及社會安全號碼傳送到家裡的電腦，違反了公司的政策。

▲

2006年5月30日

Texas Guaranteed

Student Loan Corp.：

Hummingbird（Texas Guaranteed的轉包商）的員工遺失了1批內含Texas Guaranteed承租者姓名和社會安全號碼的設備。

2006年6月2日

Ahold USA：

在1次商務飛行期間，EDS員工遺失了1台裡面包含Ahold連鎖超市離職員工退休金資料（包括社會安全號碼、生日和帳戶）的筆記型電腦。

▲

2006年7月29日

Sentry Insurance：

勞保索賠者的個人資料遭竊，其中部分資料稍後即在網路上面販售。竊取者是曾經侵入過索賠者資料的知名程式顧問。

▲

2006年8月4日

Toyota德州廠：

承包商一部內含求職者與員工個人資料的筆記型電腦遭竊。裡頭的資料包括姓名與社會安全號碼。

▲

▲

2006年9月5日

Transportation Security Administration (TSA)：

承包商Accenture將內含離職員工社會安全號碼、生日和薪水資訊的郵件，因為行政疏失寄送到了錯誤的地址。
▲

2006年10月23日

Sisters of St. Francis Health Services：

Advanced Receivables Strategy（ARS，醫療記錄管理公司）的承包商將內含St. Francis醫院印第安納及伊利諾分院266,200名病人、員工、醫師與董事會成員個人資料的光碟給弄丟了。這些資料未被加密，違反了St. Francis與ARS的政策。

▲

www.informationsecurity.com.tw 資安人 2007.06

2006年12月14日

Bank of America：

之前的承包商未經授權存取了數名客戶的個人資料，為了想要向這些人詐騙。







ISO規範的遵循方針
這是組織所想要的，能夠協助強化承包商關係安全性的業界標準。

ISO 17799/27002標準的第8節，提供了關於IT如何控制承包商的指南。基本的原則就是組織處理其承包商與協力廠商的方式，應該要跟管理一般員工時相同：

聘用之前

? 合約文件上面的安全角色與責任的定義與規範，應該與組織的資訊安全政策一致。

? 針對所有應徵者進行的背景驗證檢查，應該符合相關的法律與道德的規範，並且根據公司需求、取得的資訊與可能的風險等比例來進行評估。

? 合約義務之一，就是員工、承包商與協力廠商應該同意並簽署他們聘僱合約的條款與細則（裡頭應該陳述他們與組織雙方的資訊安全責任）。

聘用期間

? 管理方面，需要員工、承包商和協力廠商實行與組織所建立的政策與程序一致的安全規範。

? 組織的所有員工與相關的承包商及協力廠商，應該受到適當的安全規範訓練，並且定期更新與他們職務相關的組織政策與程序。

? 此外應該要有正式的懲戒流程，以便處罰那些違反安全規定的人。

終止或變更聘用合約時

? 關於雇用的終止與變更的責任應該要清楚定義與規範。

? 所有的員工與承包商應該在聘僱、合約或協議的終止時，歸還他們所佔用的全部組織資產。

? 在聘僱、合約或協議的終止或調整時，資料的存取權限與處理權責應該被取消。


用網路存取控制設備來加強承包商安全
看網路存取控制設備(NAC)如何幫助醫療保健公司管理承包商對於其公司資源的存取。

每一天，都有會計人員、IT承包商和供應商透過網路連線來到Managed Healthcare Associates（MHA，長期藥品承包採購服務的供應商）位於美國新紐澤西州Florham的總部。為了管理這些外人並且保護公司資產，MHA使用了Vernier Networks的網路存取控制設備。

透過Vernier的EdgeWall，MHA裡面的承包商和其他協力廠商有權可以存取MHA網路上面符合各自角色的資源。舉例而言，會計人員可以使用部分的網路頻寬與印表機，但是不能夠存取檔案分享。

「你可以盡可能做得非常有彈性─指派某人的政策或權限集，既能夠讓他存取網路，又能夠控制他的行為，」MHA的IT副總裁Gregory Thomas表示。

EdgeWall（不需要客戶端軟體）不僅能夠讓公司用來認證使用者，其認證對象還包括機器設備，而且可以在機器要被加入到網路之前，先掃描過濾病毒、蠕蟲與間諜軟體。

此外，這部設備也可以充當監控與回報的工具、在承包商登入時追蹤、管控承包商的存取與資料複製權限。一旦承包商下載了逾越其角色的資料，這部設備允許MHA封鎖此項動作或者發出警告。