2014年4月28日 星期一

扎穩基礎防護 力求個資外洩極小化

扎穩基礎防護 力求個資外洩極小化

如何善盡資料外洩防護,對各行各業而言,無疑都是至關重大的嚴峻課題,只因為隨著新版個資法、新版營業秘密法相繼上路,彷彿為所企業機構罩上了層層緊箍咒,稍有不慎便將惹禍上身,輕則承受罰款大傷元氣,重則甚至動搖經營根基。

眾所周知,新版個人資料保護法,已於2012年底正式上路,但不少企業卻已從一開始戒慎恐懼,逐漸選擇性淡忘此事,甚至還自我慶幸,認為儘管個資法期初聲勢浩大,但施行至今並未滋生過多糾葛,決定暫且停看聽,先以防火牆、防毒、入侵偵測系統(IPS)等基本資安配備因應即可。

企業防範機密資料外洩,首要之務即是善盡個資機敏檔案的盤點工作;圖為Privacy ID個資掃瞄結果示意圖。安資捷

但上述苟且偷安心態,真的「恰如其分」?答案肯定是錯誤的,此乃由於,個資法絕對不僅止於虛晃一招,而持續如影隨形緊緊纏繞每一企業機構!

先看海外案例。2004年,驚傳駭客入侵美國陸軍資訊系統工程指揮部、國防資訊系統局等重要軍事機構,竊取的資料量達20TB以上。2009年,位在加拿大的多倫多的蒙克國際研究中心赫然發現,一個名為「鬼網」(GhostNet)的電腦間諜組織,利用兩年布局時間,成功入侵全球103個國家共計1,259台電腦,受駭單位遍及外交機構、大使館、國際組織、媒體及非營利組織。

2010年,伊朗核電廠慘遭Stuxnet蠕蟲攻擊,其高速離心機控制設備淪為駭客禁臠,險些釀成核爆之巨大災厄。2011年,美國前三大軍火商與日本大廠Sony,相繼遭到駭客攻擊,導致大量機密資料。2013年3月20日,南韓遭受震驚全球的大規模「進階持續性滲透攻擊(APT)」攻擊,共計波及6間金融機構、3家電視台,造成相關企業的網路與服務中斷,部分網路銀行及ATM服務停止運作,頓時使該國陷入一片混亂。

看到這裡,不免有人納悶,上述案例縱然血淚斑斑,但受駭層次已偏向國防、外交、金融等至高位階,與台灣企業所面對的個資法,又有何干?

內外威脅交迫 不容企業掉以輕心

然而透過這些個案,無異訴說著Cyberwar時代已然來臨,上至政府機關,下至民間企業或非營利組織,無論有意或無意參戰,通通都已置身在戰場之中;隨著駭客攻擊手法不斷精進、威脅指數急遽飆升,企業必須捫心自問,光是憑藉基本資安配備建構防禦工事,擋得了駭客船堅砲利的猛烈襲擊?假使擋不住,那怕企業視為瑰寶的機敏個資,豈不讓人予取予求?一旦遭此不幸,企業恐難脫離個資法究責風暴!

前述案例,均是指向外部有心人士入侵,因而導致機密資料外洩,但其實資料洩漏的破口,絕不僅止於駭客,在多數情況下,內賊同樣可怕。2014年1月,南韓KB國民卡、樂天卡與NH農協卡等三大信用卡公司,驚爆有史以來最大規模個資外洩事件,就連該國總統朴槿惠、聯合國秘書長潘基文的個資也慘遭牽連,深究其事發緣由,乃在於這些信用卡公司聯合委託南韓信用評價公司(KCB)負責開發一套系統,而一名參與其中的KCB技術人員監守自盜所致,因是出自委外廠商所為,並不算是外人,可被視為內賊作亂的經典案例。

當然,若干台灣企業之所以輕忽個資法,並不見得是對駭客或內賊的威脅渾然不覺,而是不認為個資法大刀真的會開鍘;說到這裡,不妨看看本土案例。回顧2013年期間,金管會一共對台灣金控及銀行祭出27件裁罰,其中近五分之一與客戶個人資料保護事項相關,例如某大銀行,因辦理網路銀行業發生疏失,未能有效察覺外部人士瀏覽其內部目錄網頁,造成3.3萬名客戶個資外洩,因而被認定有未落實執行內控的缺失,故依違反銀行法第45條之1第1項規定,以新台幣400萬元高額罰金伺候。

明眼人或許看得出,上述銀行遭罰的法源為銀行法,而非個資法,倘若不是金融業,可能就能置身事外,但這般認知可說大錯特錯,因為該銀行受罰的行徑,已同時觸犯銀行法與個資法,通常主管機關會傾向從不同法源當中,援引最為嚴苛的依據而「從重量刑」,裁罰400萬元已高於個資法究責額度;而各行各業皆有對應之主管機關,一旦遭遇相同情境,極有可能比照辦理,只會罰得更重而非更輕,企業不宜心存僥倖。

更何況,個資法的行政罰責事小,單筆個資賠償金額介於500~20,000元,才算是大事,前述銀行挨罰400萬元,這是一碼事,後續若遇受害客戶集團求償,繼而遭法院判賠鉅額款項,那是另一碼事,兩者並行不悖。由此可見,企業如果未善盡保管之責,因而衍生大規模個資外洩事故,那麼便是「吃不完兜著走」,可能有偌大災難纏身;試想,假使一家中小企業如經查獲洩露萬筆個資,每筆賠判20,000元,即將面臨高達2億元的巨大賠款壓力,事已至此,其營運基業恐一夕崩盤。

專家提醒,若以日本為例,其施行個資法的第三年起,團體訴訟才達到高峰,因此「不是不報、時候未到」,推論台灣與個資外洩相關之團體訴訟潮流,可能在2014~2015年開始盛行,企業必須抱持憂患意識,竭盡所能做好因應準備,勿恃敵之不來、恃吾有以待之!

鎖定個資法12條 做好防禦基本功

不可諱言,雖然個資法適用範圍擴及各行各業,但部分產業基於營運屬性使然,未必會碰觸到大量客戶個資,如同以OEM/ODM代工業務為主的高科技製造業,就是明顯的例子,是否意謂此類企業可稍微鬆懈,無需繃得如此之緊?事實則不然!只因高科技多擁有關鍵技術之智財權,即便可援引新版營業秘密法,針對這些營業秘密施以保護,遏阻不宵員工之輕舉妄動,但萬一仍不幸發生營業秘密外洩情事,對於該企業仍屬重傷害,面子與裡子雙輸。

在面子部分,若企業被證實未盡良善保管責任,導致不宵員工有機可乘,犯事員工固然需面臨嚴厲罰則,企業也將因「保管不力、引人犯罪」而遭究責,同樣會被處以可觀罰金;在裡子部分,對於一般高科技製造業,IP智財權往往牽動龐大商業利益,營運績效或沈或浮,有時就押寶在少數關鍵技術之上,如果因提前外洩而遭破局,恐怕就如同洩了氣的皮球,從此一蹶不振。

問題來了,企業縱使深知個資機敏防護一事非同小可,也明知光靠現有資安配備不足以安枕無憂,但卻不知怎麼做,才能負起應有的保管責任。對此專家建議,企業因應個資防護的基本功課,其實都列在個資法第12條,共計有11項要務,而在此之中,尤其以第2項的「界定個人資料之範圍」、第4項的「事故之預防、通報及應變機制」、第8項的「設備安全管理」、第9項的「資料安全稽核機制」,以及第10項的「使用紀錄、軌跡資料及證據保存」等五大環節最為重要,企業宜先認真思考與規劃,以便將這5項任務做好

在此借用曾多次出現於相關研討會的三步驟攻堅策略,意即先掃出、後管控、再稽核,企業在制定個資安全政策、部署防護措施之前,必須先透過個資盤點程序,以便釐清所欲保護的個資機敏檔案,究竟流落何方,並深入理解個別檔案所對應的價值與風險何在,接著再將高風險檔案收歸集中管制,佐以適當解決方案,確保這些機敏資訊絕無落地之虞。

至於因應業務執行所需,仍須交由同仁分散處理的機敏資料,亦有必要採取嚴格管制措施,一方面先設立資料外洩防護(DLP)特徵庫,以正向或負向表列模式,優先對疑似外洩的行為加以攔阻,另一方面則建立定期掃描、追蹤與稽核機制,詳加留存來源(From)、誰(Who)、動作(What)、時間(When)及目的端(Where)等存取軌跡資訊,以作為日後呈堂舉證的依據

轉載自《DIGITIMES中文網