重新檢視外洩防護措施，怎麼做? 避免流於行式，強化實質做法(上)

上一篇文章討論到資料防護，第一個提出的問題是「Why」。這一篇我們來談談「How」。
不管是以減少損失為誘因，還是以法令規範來強制，當企業組織有建立個資與營業秘密安全維護措施的意願後，接著就是「How」，如何執行的問題。

人員、流程與技術三方著手
談到資料外洩防護，從新版個資法開始推動修改，就有不少專家或廠商提出自己的看法與產品技術，從各種方法論衍生出不同面向的角度來探討此議題。

但不管專家所持看法為何？或是從什麼角度出發，總的來說資料外洩防護工作大抵上不出從人員教育、流程管理與產品技術三方面來著手。至於具體的各項措施，往往會隨組織所處狀況的不同有所差異，像是產業、預算、資料類型、威脅來源，甚至是不同的管理階層都會有不同的重點所在。但以下我們還是從案例出發進行探討，透過這些實際發生的事件，也許能為讀者帶來一些不同以往的看法。

人員教育省去不必要麻煩
先看人員的教育訓練。高科技產業的營業秘密是最顯著的攻擊目標，雖然這些公司大多有意願，也投注許多資源在秘密保護上，對哪些是要保護的營業秘密也都有一定的掌握。但這類攻擊源頭往往是內部自家員工（要從外部網路入侵來竊取機密的難度頗高），按理教育訓練對這種內部蓄意竊密的行為應該作用不大。不過如果我們從2017年群聯電子遭公司內部工程師經由手機拍攝洩漏，及聯發科資料洩漏的事件來看，這些員工所涉及的都是一些機密等級較低的文件，大多就是一些自己工作上的內容；且帶走的資料也不是真要販售牟利，主要就是方便自己求職，作為面試簡報之用。但卻因這種便宜行事的心態使自己違法侵害公司權利。

透過教育訓練的課程，加強宣導有關員工競業條款，與侵害營業秘密行為的罪則，就能減少許多這類不必要的事件發生。雖然無法阻止竊取重大機密的發生，但起碼可省去法務與人資部門在事件處理上的不少麻煩。且群聯電子的例子是因為同事舉報所發現，也可見教育訓練能有助提昇員工資安意識，進而達到防止洩密的效果，同時也能減少因疏忽大意而造成秘密外洩的情況。就像當兵時所說，「沒有心防即沒有國防」，企業不可忽視人員教育訓練的重要，別讓教育訓練流於形式。


重新檢視作業流程
在作業流程上，最典型的是公務機關非故意造成的資料外洩。以北市府的「薪資發放管理系統」為例，事後臺北市資訊局局長李維斌在接受媒體訪談時，將此事界定為「商業邏輯錯誤」所導致的資料外洩，而這種因作業流程疏失所產生的安全漏洞往往無法透過弱點掃描工具檢測出來。

這類情況常發生在公務機關或一些老舊系統之上。當初開發應用系統時根本沒考慮到資安的問題，經過多年的人事更迭後，負責設計系統的廠商或人員早就不知去向，後續接任者只能繼續維護這些系統而不敢有所更動，只知道如何操作而不知道為何要這樣做。要避免這種因作業流程造成的資料外洩，公務機關最好能重新檢視現有的作業流程，尤其是那些「行之有年」又「理所當然」的應用程序，是否有作業邏輯上的缺失？或是在不更動既有系統前提下，能否最小化存取權限，像是設置於內部網路，或以白名單方式設定權限來減少資料外洩的情形發生。 

多樣整合取代單一防護
就產品技術層面，從文件保護、資料加密、郵件稽核到權限控管等，市場上有各種資料外洩防護有關的產品。在新版個資法通過的當下，幾乎什麼產品都能和資料防護扯上關係，這也意謂要防止外洩不是單靠某一產品技術就能達成。我們想強調的是，不是花大錢或最先進的技術就是好的解決方案。像2017年發生偷賣種子父母本的農友種苗事件，這根本還不到資料管理的層次，而是連基本的商品庫存管理都沒做好，才會直到有人在外販售種苗後，才發現營業秘密遭侵害的離譜事件。

● 透過PDCA持續改善
沒什麼單一技術能做到完全的安全防護，但我們不能就此否定該產品的價值。以資料隔離為例，把機密資料集中儲存在資料中心內，並禁止網路傳輸資料到任何的終端儲存裝置上，讓有授權使用者僅能經由螢幕瀏覽資料，而無法將這些資料攜出。理論上已經做到相當徹底的資料防護了，但使用者還是能以直接翻攝螢幕畫面的方式來竊取資料。但我們不能說資料隔離沒有作用，因為它還是能避免一次竊取大量資料，且從群聯電子的案例發現，翻拍螢幕是很容易被注意的異常舉動，所以可以再搭配錄影設備來強化防護。管理者要明白重點不在使用什麼技術，而是如何有效的達到阻擋洩密的目的，並透過不斷改進來因應安全漏洞，這才是PDCA（Plan-Do-Check-Act）管理循環持續改善的意義。

● 明白客戶的真正需求
另一個負面的情況是如果企業只想做到已盡管理責任，試圖為個資外洩免責時，那是否能做到最好的資料防護效果可能就不是最重要的事。像個資法第27條第1項中提到的應採行「適當」之安全措施，常會因企業規模、產業別與資料數量等差異有不同的要求。因此什麼樣的安全措施或認證標準，能讓企業組織證明已盡管理責任，而無故意或過失來就此免責才是管理者在意的重點。所以雖然口頭上不說，但此時資安廠商或管理顧問公司要能明白客戶真正想要的是什麼，才不會搞錯方向，白忙一場。但往好處想的是，產品只要能協助客戶舉證達到「善盡管理責任」，就有機會列入採購清單的選項之中。

除了上述談的人員、流程與技術三方面著手外，下一次我們將從資安廠商長期服務客戶端的經驗中給予的建議與資訊。 敬請期待。

上一篇:強化組織資料防護的意願事件通報機制角色不容忽略