2012年11月27日 星期二

你保存的Log有證據力嗎?


你保存的Log有證據力嗎?

臺灣勤業眾信分享協助企業做數位鑑識的經驗,除了保存完整可用的Log檔案,定期更新IT系統架構圖,讓企業都可以按照鑑識程序,確保數位證據的證據力 

個資法施行後,當個資當事人提出訴訟時,企業必須提出各種證據,證明自身已經落實各種個資保護作為,並善盡管理之責,最終的目的在於減輕甚至減免過失責任。

要企業提出證據證明自己的清白,紙本個資的留存還算容易,只需要妥善的保管紙本資料即可,但是,現在企業營運高度依賴各種IT系統提供各種資訊服務,如何將這些IT系統的運作過程和使用者的行為全數保留起來,並可以作為企業在法庭上的證據,其困難度比起紙本資料保存,相對難上許多。

名偵探柯南卡通影集有句名言:「真相,只有一個」,但在現在的數位化社會中,許多的電磁記錄稍縱即逝的情況下,逝去的數位證據如何保存?如何重現?又該如何還原當時景象呢?

臺灣勤業眾信企業風險管理協理曾?表示,對於許多企業而言,因應個資法保留各種應該保留的紙本和數位記錄,光是個資法施行細則第12條規定的11款安全維護措施中,企業應該應明定保留各種「使用紀錄、軌跡資料及證據保存」,如何有效的保存,就是一大工程。

曾韵指出,由於臺灣勤業眾信已經有多次協助企業進行個資外洩調查時的數位鑑識經驗,從過往的實務經驗中也發現,不少企業保存數位證據的觀念有誤,不僅導致個資外洩事件調查功虧一簣外,也無法提供足夠的證據,證明企業本身已經善盡管理之責。她說,當個資法正式施行後,能否提供具有證據能力和證據力的數位證據,不僅是每人賠償500元或2萬元之間的差異,更是企業商譽的保護關鍵。

因此,勤業眾信從過往協助企業調查個資外洩的經驗,提出了4項建議可供企業落實數位證據保存的作法參考,確保數位證據具有證據能力和證據力,足以作為法庭呈堂證供之用。

勤業眾信建議企業可以留存的Log紀錄類型
層面
說明
營運流程層面
係指於各業務流程中,針對個人資料檔案申請、簽核及核准之資料存取及授權行為記錄。
應用系統層面
係指使用者透過應用系統介面存取個人資料檔案之使用行為記錄。
資料庫管理層面
係指資料庫管理人直接至資料庫進行資料操作及存取行為之使用記錄。
作業系統層面
係指系統管理人員至系統主機上進行相關個人資料檔案操作之使用記錄,或於個人電腦中使用者相關檔案存取行為之記錄,如USB複製內容記錄。
網路環境層面
係指存取網路環境與相關設備之記錄,如網路流量監控記錄、網路安全攻擊事件封包記錄或相關網路設備之操作監控記錄。
實體環境層面
係指存取環境之記錄,如門禁管理系統出入記錄、監視系統(CCTV)影像紀錄等。



IT證據力1:先盤點,保留關鍵系統的Log
曾韵指出,以往企業保留各種Log資訊,是為了進行系統的除錯(Debug),找出系統設計有問題的地方,以便進一步調校,例如,企業會留下駭客進行各種Port Scan的失敗記錄。

但是在個資法施行之後,曾韵認為,企業對於各種Log保留的想法和態度,都應該要重新調整,相關的數位資料留存,都是為了證明企業已經善盡管理之責,最終希望能夠做到減輕甚至減免企業的過失責任。因此,究竟應該要保留哪些重要的Log,就顯得非常重要。

她表示,和進行個資盤點一樣,企業第一步就得先評估,究竟要保留哪些系統的Log資訊。就顧問的角度而言,所有的資料能夠保留最好都全數保留,但這又涉及企業所需花費的成本,因此,以個資法的規範來看,哪些系統包含重要個資或者是個資含量比較高的,都應該列為應該留存Log檔的系統之一。

許多商業設備和作業系統已有內建完整的Log機制,企業用戶往往只要啟動Log記錄功能即可,保存難度不高。臺灣勤業眾信企業風險管理副理陳威棋說:「問題往往來自企業內自行開發的各種應用系統的Log留存。」

他指出,企業自行開發的各種應用系統,往往是為了配合企業營運流程所設計的系統,只要功能面能夠滿足需求,多數開發人員並不會意識到,必須建立完整的Log機制;或者是開發人員雖有設計Log機制,但只是為了除錯之用,有效的Log應該具備的人、事、時、地、物等相關資訊經常付之闕如。協助企業自行開發的應用系統落實Log資訊的保存,並具備應該有的訊息,才能成為對企業有幫助的數位證據。

IT證據力2:設定合理Log存放和管理原則
今年某月,曾韵帶領勤業眾信數位鑑識團隊到某電子商務業者公司,協助調查個資外洩事宜。她表示,該公司從今年某個時間點之後,就一直有消費者投訴,持續接到各種詐騙電話,不堪其擾。該電子商務業者為了挽救商譽,並且找出個資外洩的原因,便請勤業眾信協助進行調查。

到了該電子商務業者的公司時,勤業眾信企業風險管理副理宋子莉請IT部門同仁協助,提供各種的IT系統與設備的Log檔,包括網路、資料庫甚至是各種應用系統的存取記錄等。但是,宋子莉發現,IT部門提供的Log檔,卻只有片段的記錄,資訊並不完整。

她進一步調查發現,原來很多系統雖有啟用Log記錄功能,但是許多關鍵主機因為存取量大,加上儲存Log的硬碟沒有設定空間將滿的警示訊息,一旦Log能使用的儲存空間用滿了,新的Log檔案就會重新覆寫到過去的舊Log檔,像是存取頻繁的AD伺服器,Log保留的時間甚至只有一小時而已。

此外,宋子莉也發現,資料庫稽核機制設計不良,導致資料庫負載過重、效能緩慢,許多實際運作時的SQL存取語法回應記錄沒有妥善保留,加上整體Log檔缺乏集中存放、管理和歸檔機制,Log檔實際可保留的天數過短,導致該電子商務業者提供的數位資訊,不利於鑑識團隊進行分析。

因為個資外洩事件在鑑識團隊進駐後,仍持續發生,因此,曾韵便帶領勤業眾信鑑識團隊協助該公司的IT部門,重新設定並調整各種IT系統的Log機制,並重新規畫各種Log的存放和管理機制,來匯集可供分析的有用資訊。



IT證據力3:Log檔應提供人事時地物完整資訊
個資法規定企業應留存各種證據,最終是為了要能夠在法庭上證明,企業在各種可以防範個資外洩的關鍵點上,都已經落實應該盡的管理責任,而所有的管理流程,也都有明確的記錄,有跡可循。希望透過相關證據的完整呈現,可以減少甚至減免企業的過失責任。

為了提高Log記錄的證據能力,陳威棋建議,企業應該從具備人事時地物等類的Log資訊著手,人的資訊包括使用者帳號和來源IP,事的資訊則有各種資料存取的詳細記錄,時間則可包括系統登入、存取和登出時間,地的資訊則可以確認目標主機或者是所存取的檔案名稱,物的資訊則包括各種資料和系統存取成功或失敗的訊息等。他認為,當這些Log檔案的留存都可以提供足夠的分析資訊,也有助於作各種的異常分析。

IT證據力4:企業應定期更新系統架構圖
曾韵指出,鑑識團隊協助業者調整系統,蒐集了大約一個月的Log資料後,就可以開始定位出可疑的系統。她指出,第一個定義可疑系統的方式就是,從外洩的資料中回推,企業內有哪些系統擁有外洩的資料類型。例如,如果外洩的個資包括客戶姓名、地址、聯絡方式和購買品名的話,企業就應該回頭檢視,就目前企業的流程中,在哪些系統中有這些外洩的個資。

除此之外,由於鑑識團隊是外來的專業團隊,不了解企業內的系統,往往必須依賴IT部門,協助告知相關的IT架構與系統設計流程,鑑識團隊才能在可能外洩個資的關鍵系統中,設計查核的機制,來蒐集所需要的資訊。

但是,曾韵表示,業者IT部門提供的IT架構,往往只有原始的系統設計架構,對於企業後續因應營運狀況所做的各種IT系統調整的部分,IT部門並沒有提供正確的資訊,讓鑑識團隊白白浪費了許多時間。

陳威棋建議,企業應該要定期更新IT系統架構圖,包括各種網路拓樸,不只是作為內部控管之用,一旦有外部團隊進駐時,就可以有完整的IT架構資訊可供參考。

各種IT設備的Log和相關的系統內容及電子文件資料,都是企業證明是否以善盡管理之責的關鍵,曾韵說,從盤點並保留關鍵系統的Log,並提供完整的Log資訊,邁出企業保留正確Log第一步;搭配合理Log存放和管理原則、定期更新系統架構圖,一旦有異常,就比較容易找出外洩個資的關鍵點。她認為,只要所有鑑識過程都符合程序,所保留的數位證據都具有證據能力和證據力。


勤業眾信數位鑑識工具大公開

勤業眾信在其他國家,原本就已經有提供數位鑑識的服務,而臺灣團隊則是為了因應個資法的施行,早在2年多前,個資法母法通過當時,就已經逐步強化數位鑑識團隊的鑑識能量



耐摔鑑識工具箱
臺灣勤業眾信提供給鑑識人員使用的鑑識工具箱,為了因應不同環境的變化需求,除了基本的防水耐摔抗震的功能外,也設計兩個鎖頭,避免內部的鑑識工具被任意拿走。採用軍用規格的行李箱,放置一般提供給外勤鑑識人員,經常使用的鑑識工具。內有兩層隔層,第一層物品是各種鑑識用的軟、硬體裝置,第二層則是放置鑑識人員需要使用的各種輔助工具,例如延長線等。



專業鑑識軟硬體工具 
這是放在鑑識行李箱第一層的工具,(1)是可以進行線上鑑識的軟體F-Response;(2)是鑑識軟體EnCase Protable,針對開機電腦蒐集消逝性證據;(3)和(5)是不同介面的磁碟防寫機;(4)是各種常見排線接口;(6)是一對一硬碟複製機;(7)是鑑識分析軟體EnCase。



常用鑑識輔助工具
這是放在鑑識行李箱第二層的工具,(1)是拆卸電腦的工具組;(2)是LED手電筒;(3)內裝各種包括SCSI排線;(4)是USB轉接器;(5)是軍規行動硬碟,防摔抗震;(6)是DVD燒錄機,可將電腦內的資料燒錄成唯讀光碟;(7)是各種器材的線材;(8)是延長線。



軍規數位相機 
為了確保數位證據符合鑑識規範,拍照和錄影搭配各種表單工具是非常重要的佐證環節。鑑識人員一旦到定位開始進行採證時,會開始定點錄影,另一臺相機則將每個動作拍照存證。



軍規筆電 
採用軍規筆電,為了因應鑑識過程中,不小心發生突發狀況導致鑑識證據全毀的情況。拆卸硬碟產品過程中,避免落塵影響,也使用防止靜電的防靜電手環和接地的防靜電墊子。



硬碟防震箱
鑑識人員在完成數位證據的採證後,在傳送硬碟證物的過程中,為了避免不必要的震動或摔到地上,導致數位資料損毀,將3.5吋硬碟放在適當大小的硬碟盒中,再放置在具有防震力的行李箱傳送證物。

轉載自《iThome》


沒有留言:

張貼留言