Pages

Subscribe:

Ads 468x60px

Labels

2013年10月20日 星期日

個資法真的要來了-企業如何因應個資外洩風險

陳志遠   

前言

保護公司與客戶機密資料不致外洩,一直是資訊安全中十分困難的一個環節。不管是政府單位還是民間企業,都曾發生民眾或客戶資料遭盜竊,成為犯罪的工具與幫兇。民眾與客戶基於對政府或企業的信任,而對於手握機密個資的犯罪行為疏於防範,成為詐騙集團覬覦的目標與詐騙的對象。何其無辜。
善盡重要機密敏感資料保護是企業十分重要的議題,除了避免商譽的損失、客戶流失、損害賠償外,也是對客戶支持與信任的最佳回應。
政府為了落實個人資料的保護與因應日新月異的科技發展,除了不斷編修舊有的”電腦處理個人資料保護法”,更在2010年4月27日由立法院三讀通過新版”個人資料保護法”,除了擴大納入所有非公務機關適用新版個資法規範,更提高民事與刑事責任、並可提起團體訴訟,同時企業需負無故意與過失之舉證責任。這些重大變革讓個資法更具可行性,與舊法相比,新法讓企業必須正視保護個資的責任,並採取行動。同時,民眾與客戶不再是相對弱勢的一群,不再求償無門。其施行細則草案已在2011年10月27日發布,最快2012年下半年可望正式實施。
為了因應新版個資法,其中的資料安全與稽核的要求讓很多企業傷透腦筋,不知道現有的資安系統是不是已經可以滿足要求。下面章節將有系統的分析資料外洩議題,協助企業提升資料外洩防護能力,以符合法規的要求。

一、如何因應新版個資法

從正面的角度來看,新版個資法的訂立對IT人員來說是一件好事,過去即使有心想要擴展公司的資訊安全防禦能力,總會面臨無法取得老闆支持與公司資源的窘境,資訊安全在傳統的台灣企業中其實是被嚴重忽視與低估的。有了新版個資法,總算是能讓IT人員”師出有名”去跟老闆要些經費來補強長久以來企業可能缺乏的資訊安全防禦能力。

面對新版個資法的實施,企業該如何因應?首先要先了解新舊版本個資法的差異,新版個資法的要求事項有哪些?以及新版個資法的實施時程究竟是如何,企業才能據以擬定計畫,回應法規要求。
1.新舊個資法差異

翻開新版個資法法條,洋洋灑灑五六十條八千多字,筆者整理了一些關鍵差異,而也是這些差異迫使企業得積極採取一些行動來符合法規要求。
  • 所有非公務機關皆適用個資法
  • 企業須善盡保護責任,並證明無故意或過失
  • 意圖營利而侵害個資者改為非告訴乃論。可提起團體訴訟
  • 賠償總額提高至2億元,最高刑責五年有期徒刑
其中,在舊版個資法原本規範對象有行業別限制,在新版個資法則取消此限制,所有非公務機關一體適用,也就是所有的企業都納入新版個資法規範。
在新版個資法很重要的部分是,當個資外洩事件發生,企業必須舉證無故意或過失責任,至於過失責任的輕重與否,新版個資法施行細則中的要求事項的落實程度深淺好壞將是很重要的指標。
為遏止個資竊用盜賣等惡意行為,意圖營利而侵害個資的犯罪行為改為非告訴乃論。另可由財團法人或公益社團法人提起團體訴訟,若企業沒有善盡保護個資的責任,在新版個資法施行後,若發生個資外洩而侵害權益者,面臨訴訟的機會大為增加。不再是過去小蝦米對大鯨魚,受害客戶摸摸鼻子自認倒楣息事寧人。
在民事賠償部分,相同事件的總求償金額最高提高至2億元,若是意圖營利犯罪者,最高處五年以下有期徒刑,都較舊版個資法大為提高。更甚者,為加強企業管理人的監督責任,在第五十條規定: 『非公務機關之代表人、管理人或其他有代表權人,因該非公務機關依前三條規定受罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰。』企業老闆也需一併受罰。這條規定讓各企業老闆莫不如履薄冰,謹慎因應新版個資法的到來。
2.新版個資法的要求事項與企業因應措施
根據新版個資法第27條,施行細則中包含針對非公務機關所制定的「適當安全維護措施」,其中包括善良管理人的注意義務,以及12項明訂安全維護事項,藉此防止個人資料被竊取、竄改、毀損、滅失或洩漏。
當個資外洩事件發生,非公務機關過失責任的輕重與否,施行細則中安全維護事項落實程度深淺好壞將是很重要的證明依據。
法務部研擬的12項安全維護事項條列如下:
  1. 必要之組織
  2. 界定個人資料之範圍
  3. 個人資料蒐集、處理或利用之程序
  4. 當事人行使權利之處理程序
  5. 資料安全
  6. 資料稽核
  7. 人員管理及教育訓練
  8. 記錄與證據之保存
  9. 設備管理
  10. 緊急應變措施及通報
  11. 改善建議措施
  12. 其他安全維護事項

『安全維護事項』就是企業因應個資法的重要指導原則。由條列之安全維護事項可知,企業須有專責的編組負責個資保護相關事宜,並且得界定個人資料的範圍,訂立程序以確保個資的蒐集處理利用都能妥善受到保障。
證據與記錄的保存、稽核軌跡的建立與保留也是重要的要求。12項目中,部分項目可由企業內部經由組織的變更與建立作業程序來完成,特別要注意的是第(5)項資料安全的部分,牽涉到企業的資訊安全防禦能力的好壞,對於資安系統的建置與防禦架構是否足以防止個資外洩或遭受侵害,顯然是資料安全維護事項落實與否的重要指標。另第(6)項資料稽核的落實與第(8)項紀錄與證據之保存更是諸多企業客戶頭痛的問題,諸如資料庫的存取是否留有稽核紀錄?檔案的存取、修改、竄改紀錄是否也能稽核保存?
麟瑞科技針對這些棘手問題提供了十分完整且有效的解決方案,可以幫助企業客戶解決這些問題,提升全面的資訊安全資料防護能力。
3. 個人資料保護法發展時序
下圖以時間為橫軸說明了我國個資法的發展進程,預計2012年下半年,施行細則將由行政院公布實施。屆時新版個資法就算完全生效了。

二、資料存取稽核與外洩防護

1. 資料存取稽核 

要討論資料外洩防護議題,就得從原始資料來源從頭到腳的流向分析,從中找出可能產生外洩問題的環節,其實說複雜也複雜,說簡單也簡單---請看圖二,很清楚的把問題的根本點出來了『It’s All about the Data』。
整個流向的中心就是Data,Data會以甚麼樣的方式存在企業內部?其實就是資料庫跟檔案。透過各式各樣的Interface、API、APP、資料才會傳送到公司員工、或是客戶手中。看了這張圖,大家應該很快的能想到,如果要稽核與防護資料的存取行為,checkpoint應該設在哪個節點,效果最好、最快而且可行的?如果讀者有印象的話,上一個章節已經透露端倪---從資料庫與檔案的存取點下手,可以快速提升企業與公司的資料外洩防護能力,同時可以滿足個資法中對於資料稽核的落實要求。
現在大部份的公司針對資料庫與檔案存取防護相當薄弱,筆者接觸客戶時,常會有需求討論跟經驗分享,企業常見的資料庫如Oracle、MSSQL等其實都內建資料庫稽核功能,但是大部份的公司並沒有開啟,開了以後資料庫的效能將大為下降。而且稽核出來的資料可閱讀性差,不具分析問題的能力與效果。更大的問題是記錄了一大堆資料,結果來源都是Application用來開啟Database的account,非真正的使用者帳號,這樣等於有紀錄跟沒記錄一樣。因為所有的來源都是同一個AP帳號。

針對檔案的稽核更是很多企業的迫切需求,共享資料夾、網路磁碟機是大部份企業都會使用的網路服務,可以用來分享公司重要的檔案,方便的同時也存在風險---離職或惡意員工要把檔案一次大量copy走也很方便。這造成很多企業的重大的損失。還有檔案被誰改了、刪除了、copy了、讀取了、這其實是很多企業都會面臨的問題與需求,現在更有個資法的資料稽核要求,迫使企業得尋求檔案稽核的解決方案。
還好有個具有前瞻性的公司看到了這方面的問題,提出前瞻性的產品可以彌補這方面的風險與需求---iMPERVA。
圖三是iMPERVA針對資料安全保護所提出的解決面向---5W1N 。也就是所有資料庫跟檔案的存取,它能提供5W----WHO、WHAT、WHEN、WHERE FROM、HOW這五個完整的資料存取面向資訊,更重要的它還能確保這些行為是不是Normal的。說到這個不得不提iMPERVA這家公司,提到iMPERVA,讀者應該不陌生,很多讀者多半是從
他廣為人知的WAF(Web Application Firewall)產品知道這家公司,這跟資訊防護類型的產品在台灣的發展進程式有關係的,從早期的Friewall到IPS等Layer6以下產品,針對Layer7以上的防護,大概在四五年前就已經開始有些公司注意到諸如SQL INJECTION、XSS、CSRF等漏洞的可怕(其實很多公司已經受害),所以iMPERVA在台灣很早就以WAF產品優異的性能廣為人知,殊不知它其實是做資料庫稽核與防護產品起家的,近來更推出針對檔案存取稽核與權限管理功能。所以針對網頁應用程式存取的安全乃至於資料庫與檔案存取的稽核與安全防護,iMPERVA可以說是市面上唯一具有三合一能力,整合在同一平台的解決方案。
iMPERVA保護資料的解決方案、圖四提供了一個很清楚的說明,不但在重要的資料庫與檔案伺服器前面提供了防護與稽核功能,這些資料彙整回管理平台後,還能跟前端的WAF作使用者的追蹤與關聯,不但能提供最佳的稽核能力與安全防護效能。
同時針對真正使用者的追蹤,iMPERVA具有獨家專利技術,可以找出真正的使用者而非應用程式用來存取資料庫的共享帳號。這大大提升了稽核資料的可用性與可讀性,不會浪費了資源卻記錄了一堆沒有用處的資料(請參閱圖五)。最後關聯出來的結果如圖六所示,把所有該紀錄的東西(5W)清清楚楚的記錄下來,同時還能確保這些是Normal(安全的)存取,可以簡單而且輕鬆的滿足個資法中針對資料稽核的要求。

2. 資料外洩防護
看了上一個章節,可能會有讀者開心的跳起來說: 『我出運了!!我買iMPERVA就可以解決資料外洩的問題了!! 』呃…其實那張圖沒畫錯,但是只畫了一半,當這些資料的存取與稽核需求被滿足了,資料到了同心圓的最外圍(請參考圖七),也就是用戶端、員工手上,那要是從這些地方被外洩了該怎麼辦?
從稽核紀錄會發現,正常的業務使用存取敏感資料跟惡意的資料外洩行為,都會一併被記錄稽核,可是最終我們怎麼去區分哪些使用是因應業務所需的存取?哪些是惡意的資料外洩行為?這就是另一層面的資料外洩防護議題---用戶端的資料外洩防止。
完整的資料外洩防護體系,除了原始資料的稽核與保護,不能缺少的是用戶端資料外洩防止,請參考圖八,這張圖看了實在讓人冷汗直流,圖的中間是內部員工,外圍環繞著的各個item都是可以用來外洩資料的管道,不管是惡意或是無心,只要其中有某個環節形成漏洞,就有機會對企業造成傷害。
為了因應新版個資法的實施,許多企業都在積極尋找解決方案以滿足法規要求,現今企業在資安防禦的投資與多半已付出相當大的心力,多已建置如防毒軟體、防火牆、入侵偵測與入侵防禦、以及內容過濾等資安系統,但還是面臨發生洩露客戶資料與機密資訊的風險。資安解決方案如防火牆與入侵防禦系統對外來的攻擊可以提供不錯的防禦能力,但無法防止資訊外洩的事件,畢竟它們的設計原意並不在此。
現有資料外洩防護系統的瓶頸與難題在於
1、如何判斷哪些是機密敏感資訊?
2、如何阻擋所有可能的外洩管道?
通常MIS人員可能會藉由關鍵字判斷、檔案類型或藉由網站類型的阻擋(如webmail)來阻擋資料外洩,最後的下場往往是擋了一堆不應該擋的東西,而變成全都不能擋也不敢擋。
幸而隨著資訊科技發展,已經有些十分出色的資訊外洩防護解決方案。可以在機密敏感資訊的判讀方面提供十分高度可靠的判斷能力,讓機密敏感資料的判讀準確度大為提高,同時提供多種外洩管道的監看與阻擋功能,可在機密資料不小心或惡意外洩之前,阻止機密性資料從內部流出,有效保護企業資產與客戶資料安全。
如何在現有的資安架構下去選擇適合的資料外洩防護系統?這其實跟企業自身已有的防護能力有直接的關連。在跟客戶訪談需求的時候,筆者有時候會問幾個問題,各位也可以藉由這些問題評估自己公司目前針對資料外洩的防護在甚麼樣的等級。

1. 企業內部對於員工透過公司的電子郵件外洩機密資料怎麼辦?郵件歸檔可以即時防止資料外洩嗎?事後的追查可以查的到嗎?
2. 如果在電子郵件中的附件加密呢?

3. 透過IE等瀏覽器上傳資料到如網路硬碟、gmail/hotmail/yahoomail等網路信
箱怎辦?要是透過SSL (gmail/facebook)加密呢?有沒有可能透過無界或自由
門、Softether這種規避企業安全政策的軟體翻牆出去?

4. 員工透過USB隨身碟可以把機密檔案帶出公司嗎?其實不少企業已經引進
這類型解決方案,但是總是有員工是經過授權可以使用的,依據經驗,企業
中有通常將近三成的員工是被授權可以使用USB隨身碟讀寫。那這類型解
決方案的效果就會大打折扣,因為只有yes or no可以選擇。

5. 員工透過即時通訊軟體如加密的skype、QQ或是msn、yahoo messenger外洩資料怎麼辦?很多業務都要透過即時通訊軟體跟他的客戶建立關係,又不能 禁止他們使用?

6. IPHONE/Android等智慧型手機或是3G無線網卡插上電腦或是NoteBook可以建立另外的INTERNET連線規避公司的政策嗎?

7. 員工透過印表機把客戶資料列印出來帶走,可以防止或紀錄嗎?

8. 員工有沒有可能把自己的NoteBook帶來公司,透過網路芳鄰把資料copy到自己的Notebook上呢?

9. 員工透過智慧型手機等mobile device收發公司內部郵件到手機上,那這些資料不就管不到了? 

如果把上面的問題想過一遍,應該有不少讀者背脊發涼,發現自身的企業已經暴露在相當高的資料外洩風險。其實有些問題是因為即時通訊與3G網路蓬勃發展或智慧型手機的普及才衍生而出的,多數的企業多半已知存在這些問題,卻苦無對策因應。針對這些問題,很多企業都在找尋所謂資料外洩防護(DLP)的解決方案,但是怎樣的解決方案才是有效,全面且部署容易的呢?
筆者聽過很多人談DLP,多半會覺得複雜、困難、建置時間長、資源與人力投入龐大、誤判率高。而望之卻步。這真是誤會大了,其實選擇適合的解決方案與有經驗的合作夥伴,可以讓DLP的導入變得簡單而且有效。
對於前述的DLP議題會碰觸到的難題,現在已經有非常成熟且完整的解決方案,這類型的解決方案通常稱為”Content-Aware Data Leakage Prevention System”,翻成中文就是”內容感知型的資料外洩防護系統”,有別於以往只針對關鍵字、正規表示、字典辭庫、檔案類型等誤判率高而可用性低的傳統的資料外洩防護方式,新型的內容感知資料外洩防護系統不但可以精準的判斷資料傳輸的內容是不是牽涉公司機密敏感資料,更可以全面性地在各個環節達到防護資料外洩的效果。
面對現今複雜多變的資料外洩途徑,有三個面向是使用者評估DLP產品的重要指標:
1.誤判率低---可以精準判斷何為機密敏感資料
圖九為DLP產品用來分析與判斷資料是否為敏感機密內容的方式,市面上DLP產品所使用的技術其實可以以金字塔的形狀來呈現,越往上越少產品能有這樣的技術能力。面對複雜與多樣的客戶環境跟需求,光關鍵字與正規表示式(Regular Expression)、字典辭庫這類型基本的判斷功能將會面臨大量誤判的問題,可用性非常的低。
所謂Content-Aware DLP產品就是為了解決大量誤判問題而衍生而 出的新產品,藉由更先進的判斷技術如提供資料庫與檔案內容(包含部分 檔案內容與完整內容)比對功能,相較於傳統的關鍵字與字典辭庫等傳統 比對方式,新型態的Content-Aware DLP系統可以直接與企業資料庫跟檔 案內容同步,可精確判斷外洩的內容是否真正為公司重要資料。此外 針對身分證字號、信用卡號等具有checksum(檢查碼)特性的資料,技術 領先的DLP產品內建程式化判斷運算檢查碼功能,可避免隨機組成的數 字容易造成系統誤判的情況。
市面上許多防火牆、郵件、網頁閘道系統號稱具有DLP能力,通常 僅能針對關鍵字或檔案類型過濾,這跟市面上較成熟且全面的DLP產品其實存在很大差距。完整的DLP產品除了支援的判斷技術完整(如圖九),且政策訂立與條件設定最好可以任意彈性組合(如圖十),以將誤判率降至最低。
2.涵蓋範圍廣---包含越多外洩管道越好: 如HTTP/HTTPS網際網路、SMTP電子郵件、FTP、網路芳鄰乃至於client端的USB隨身碟、即時通訊軟體、應用程式、印表機列印等。
若外洩管道無法完整涵蓋,就如同容器破了洞,水還是會從漏洞流出去,所以涵蓋範圍的完整性與否,十分關鍵地決定了DLP產品的可用性。圖十一即為Websense Data Security在單一介面,檢視所有涵蓋的外洩管道。一覽無遺。
3.管理簡單,部署容易---理想的DLP系統最好是由精簡的元件組成,可降低部署複雜度。
如果一套DLP系統必須由多台伺服器組成,而且記憶體跟
CPU的等級要求都很高,建置時間長,那就不是很理想了。這表示分析 技術沒有效率,這在整體的使用上會造成很大的問題,再深究下去會發 現這類型的系統在很多層面有隱藏的”地雷”跟”但書”。而且困難的部署將造成DLP系統建置的困難。簡單的元件組成更有助於政策管理與發佈。
Content-Aware DLP這類新型態的資料外洩防護系統,在個資法雷厲風行的施行之際,可有效地替客戶解決了用戶端資料外洩的問題。不但可以防止資料外洩,還有教育與遏止員工外洩資料的念頭,所留存的證據更可作為企業在面臨訴訟時保護與舉證之用。
尤其針對金融與電子商務或政府單位等掌握大量個人資料的企業與機關更收奇效。在筆者協助客戶導入的過程中,這類掌握大量個資的客戶通常都可以藉由有效率的政策設定,快速地解決用戶端資料外洩的問題。不僅保護了重要的客戶資料,也保住了商譽更避免了公司的傷害跟損失,兼顧法律層面的要求與企業的永續經營的信念。

結語

由前述章節可知,個資法針對企業保護個資的要求落實,可以從兩個層面來看(見圖十三):
  1. 原始資料的存取稽核與防護
  2. 使用者端的資料外洩防護
重要資料的存取稽核絕對是在個資法中被強烈要求的事項,這在資料外洩防護策略中是為部署於server端的第一防線。同時因應業務需要,員工會被授權直接碰觸或處理重要的敏感資料,如何規範與保障這些敏感資料的合理運用,確保資料流動僅限於公司內部業務所需不致外洩,則是屬於client端的資料外洩防護議題,也就是第二道防線。
在資料流動的重要關鍵點建立checkpoint,是資料外洩防護一個很重要的概念,也可讓防禦系統的建立變得很簡單。選擇合適的解決方案與專業有經驗的合作夥伴更是系統導入的重要考量。

有客戶問筆者,這樣就做可以符合個資法了嗎?其實善良管理人的認定與罰責的輕重是相對的概念不是絕對的概念,在企業能力範圍內,能做該做而不去做,自然就有被質疑的空間。盡力強化企業防護系統,降低風險,除了可以滿足法規要求,也是對企業本身和對客戶負責任的表現。

參考文件:
  1. 法務部網站 http://www.moj.gov.tw
  2. iMPERVA 官方網站 http://www.imperva.com
  3. Websense 官方網站 http://www.websense.com

沒有留言:

張貼留言