2012年台灣最受關注的議題非個資法莫屬,雖然從版本修改、施行細則公布到正式上路已經歷了數年的醞釀,甚至有些企業也先行導入相關產品,而成為資安廠商期望甚大的未來商機。但因為尚無第一個違法判例出現,加上個資法牽涉範圍太廣,目前施行細則也僅列出法條方向,不像ISO27001已有許多固定具體的實作規範可供導入,連管理顧問公司也還在嘗試規劃中,可說是處於一個「各自解讀」的狀況。所以在第一件個資訴訟案成立前,部分企業這種等待觀望的態度不會有太大改變。
達友科技總經理林朝賢認為,雖然有部分企業在2011年已經編列個資保護專案預算,確定2012年法案上路就開始執行,但大多數企業仍抱持觀望同業的態度,或準備視執法情形再決定如何行動。
亞利安總經理范梓芳指出,企業對因應個資法抱持著一種錯誤期待,希望政府能夠頒佈明確指引,讓他們知道要導入哪些解決方案,即便2012年初就知道可能會正路,但在第1、2季都還是抱持觀望態度,直到第4季才開始下單採購資安解決方案,所以個資法未在2012年發揮預期效益。
數位資安總經理蘇隄認為,企業抱持觀望態度的原因還有1點,就是文化民族性影響。台灣原本就有電腦處理個人資料保護法,而且罰則也不輕,但過往並沒有非常嚴厲的判例,導致大多數企業主認為法院或政府不會真的揮刀,所以也比較不會有積極作為。
SGS產品經理何星翰表示,要看到企業大幅度動員因應個資法,除非有以下兩件事發生,第一、相關判例,第二、市場上出現個資標準,且要有標的物可以連結標章或證書,以證明企業自身所做的努力。雖然在施行細則裡已經明訂11項安全維護措施,但是要怎麼做?如何舉證?這些最麻煩的地方,細則都沒有明確說明,導致企業雖然看過也都知道卻不知該如何著手,如果能取得第三方驗證,不僅客觀也比較容易取信於法官。
從產業別來看,以金融業態度最積極,其次則是電信業(但台灣的電信業者數量不多),接下來就沒有明確的產業分佈,各個產業或多或少有分佈一些,某些比較有意識的業者就會主動執行個資法因應規劃,不像ISMS有明顯導入趨勢在金融業與政府組織。
個資法會帶動的解決方案 仍舊以DLP、LM為主
與個資法相關的制度目前最熱門的就是BS 10012,其次則是經濟部商業司的TPIPAS。根據何星翰觀察,目前企業在個資法因應措施上,大多只有進行個資盤點與風險評鑑,還沒有到導入與驗證制度的階段,部份客戶因為今年沒有編列預算,所以沒有動作只能明年再做,但是已經在討論導入範圍要怎麼訂、預算如何拿捏…等問題。
另外有些企業則是試圖將資安與個資管理整併在一起,由於個資法正式上路,個資管理與資安強度有某種程度的關聯,因此有蠻多企業希望一次導入兩種制度,但不一定都會進行驗證,也或者在導ISMS的時候,要求顧問順便設計個資查檢表,或是做個資盤點與風險評估。
至於個資法相關解決方案,企業的採購方向分成兩種:舉證、避免大量個資洩露,根據Novell產品經理李民偉觀察,有些比較缺乏資安相關經驗的產業,就會需要個資管理制度的協助,才能做好法規遵循,而資料庫是企業存取資料的主要場域,若要確保資料的存取流向,資料庫稽核變得相當重要,然而受到在DB做稽核會影響效能、AP存取資料庫的Log不完整等因素影響,企業對DAM的需求將會增加。
趨勢科技台灣及香港區總經理洪偉淦認為,個資法相關解決方案主要是指防制資料外洩,如:DLP、DRM、DAM、加密、資料遮罩…等,雖然個資法施行細則中有規範許多安全面向,但是在第一個判例出現前,大家還是會聚焦在防制資料外洩上,只有少數企業會去考量設備安全與防駭客攻擊解決方案。
中華電信資訊處資安服務科科長謝東明也表示,企業對個資法需求的解決方案以DLP為主,至於DRM或檔案加密,一來因為使用不方便,二來是檔案加密有很多免費軟體可以使用,市場需求可能不大。
林朝賢認為,市場高度需求,供應端也充斥各種防制資料外洩解決方案,有新廠商進入市場,也開始出現價格競爭。然而DLP要導入成功不容易,林朝賢呼籲企業應注意合作廠商的實務專案經驗,目前以金融、公務機關對個資保護需求較熱,此外大型企業對於資料庫行為監控、資料庫加密的需求亦頗高。
許多企業面對五花八門的個資保護解決方案,往往無所適從。懇懋科技副總經理涂睿珅建議以下導入優先順序:第一、先建置IP/Mac管理,許多資料外洩與未經授權的存取有關,藉此可做到基本的不可竄改與不可否認性;第二、對儲存大量個資的資料庫進行監控或加密,也有企業採取檔案加密的作法;第三、日誌集中管理;第四、應用程式QoS控制或網頁應用防火牆。
敦陽科技IT管理技術開發處處長李欣陽則建議企業,將個資法的起步點分為兩種:管理層、技術層。從技術先做的好處是成效快、容易編列預算,只要知道(1)哪些是要保護的資料;(2)資料機密等級;(3)資料在哪裡,依此3點再去尋找適合的解決方案。至於管理層,通常是由資安顧問公司協助建立管理制度,惟企業要注意的是,管理制度是否能在內部落實,否則只是白花錢而已。
整體而言,多數資安廠商仍期盼2013年個資法能發揮效益,帶動整體資安市場成長,不過中華電信資訊處資安服務科科長謝東明的看法比較不樂觀,他以日本經驗來看,法規上路3年後才開始湧現商機,再者集體訴訟至少要等1年才有可能成立或是宣判結果,因此個資法雖然會為2013年資安市場帶入商機,但恐怕沒有大家想得那麼大。
相關文章:
【2013資安趨勢】2013法規遵循下的資安趨勢
【2013資安趨勢】APT攻擊依舊存在 政府是駭客頭號目標
【2013資安趨勢】雲端由基礎走向資安 BYOD有需求但不多
【2013資安趨勢】法規遵循驅動 LM出現小規模導入需求
【2013資安趨勢】第七層新興威脅 善用WAF作好防禦