Pages

Subscribe:

Ads 468x60px

Labels

顯示具有 個人資訊保護法 標籤的文章。 顯示所有文章
顯示具有 個人資訊保護法 標籤的文章。 顯示所有文章

2014年10月16日 星期四

不想收到廣告電郵! 客怒告賣場勝訴

台北一名郭姓會計師,指控在退出特力屋會員後,要求業者刪除他個資,並且不要再收到任何廣告電子郵件,但後來半年內還是陸續收到52封廣告信,平均每3天就有1封,實在不堪其擾,認為業者已經違反個資法憤而提告,最後法官判特力屋須賠償對方2萬6千元,本案可以上訴。


當事人郭先生:「我不但覺得很煩,他們影響我的工作效率。」

一想到還是滿肚子氣,台北郭先生指控家具賣場特力屋,原本有加入會員,但明明就在去年6月申請要退出會員資格,並要求刪除全部個資,不再收到任何廣告電子郵件,但業者答應後,卻還是不斷收到垃圾信件。

當事人郭先生:「我在7月2日,特力屋已經確認過以後,101年7月3日,我就馬上接到一封他們的廣告郵件,所以是隔天我就接到,所以後來我又陸續接到52封電子廣告郵件。」

業者確認取消會員資格的隔天,還是收到廣告郵件,之後半年期間,郭先生共收到52封,平均每3天就有1封,讓他實在不堪其擾,認為特力屋已經違反個資法,持續使用他的資料,氣得提告求償10萬元,法官最後判特力屋須賠償對方2萬6,也是個資法上路以來,第一起廣告信件擾人判賠案。

當事人郭先生:「縱然不是故意也是重大的過失,因為他們已經跟我承諾過了,怎麼可以這樣出爾反爾,我當然會擔心,我的資料以後是不是會有外洩的可能,是不是會有不當利用的可能。」

特力屋公關協理沈汝康:「發廣告信的時候,沒有把暫存器的資料排除。」

特力屋事後坦言有疏失,但考慮是否上訴,只是儘管獲得賠償,郭先生還是覺得很失望,因為半年來不斷受到廣告郵件搜擾,又擔心有個資外洩風險,2萬6千元恐怕無法彌補。
作者林君舫  | TVBS – 2014年10月15日 上午11:56

2014年5月3日 星期六

你也被駭嗎?去年5.5億個資外洩

你的個資外洩了嗎?別以為,你不會成為被駭的那一位!「一位在跨國公司的員工,收到了一封附有發票附件的電子信函,幾分鐘後,她接到一通電話:麻煩請您處理一下發票。不疑有他,這名女員工,就打開附件,沒想到,就中獎了!」
賽門鐵克在4月30日公佈最新第19期全球網路安全威脅報告 (Internet Security Threat Report, ISTR)。報告指出,去年網路罪犯行為出現明顯變化,駭客放棄小額獲利的快速攻擊方式,轉而進行長時間潛伏,準備一次性的大規模攻擊計畫。
台灣賽門鐵克總經理宋仲玲指出,2013年網路安全威脅包括:2013年為巨量資料外洩之年;全新網路間諜活動崛起,社群網路讓隱私無所遁形;勒贖軟體超過5倍的巨大成長幅度;行動與社群媒體缺乏基本防護與危機意識的使用行為成為犯罪溫床;零時差漏洞攻擊,每8個網站就有1個重大弱點(漏洞),歷史高峰的數量超過前兩前總和;物聯網成新型態針對性攻擊的可能侵入點。
她回顧2013年台灣資料外洩事件指出,在去年2月23日發生活動網站被駭,知名手機大廠洩150萬個資;9月27日,中國大陸駭客利用網頁瀏覽器弱點對台灣等國發動攻擊;10月17日,史上最兇猛勒贖軟體肆虐台灣;10月28日,變種木馬病毒,利用網路釣魚鎖定攻擊台灣;11月25日,知名社群軟體詐騙新招,入侵好友帳號寄發認證碼;2014年起,則是智慧裝置串起物聯網,駭客攔截資料神不知鬼不覺。
宋仲玲說, 2013年整體網路威脅台灣名列全球第九名,在亞洲國家中僅次於中國大陸與印度;台灣的針對性攻擊有87%鎖定中大型企業251-2500人(相較於全國,同規模的企業僅占整體針對性攻擊的31%),其中批發業與製造業更是被駭客們鎖定針對性攻擊的前兩大產業。此外,台灣垃圾郵件的數量更是從去年全球的第十二名躍升,與殭屍網路的數量排名同列為全球第四名。
現今資料外洩的規模比起往年呈現大幅成長,讓企業的信任與商譽受到威脅。不論是信用卡號、醫療記錄、或是銀行帳號密碼等,有愈來愈多的客戶個人資訊遭受侵犯。根據報告指出,2013年整體全球網路資料外洩事件比起前一年增加了百分之62的成長,更造成5億5200萬筆個人資料曝光,這證明了網路犯罪對消費者及企業來說確實具有強大的威脅。另外,2013年全球前八大資料外洩事件中,每一件都造成至少千萬筆紀錄的損失;相較之下,2012年卻只有一次相同規模的巨量資料外洩事件。
台灣賽門鐵克首席技術顧問張士龍指出,每一個資料受害導致身分曝光的平均筆數約為470萬筆;裝置遺失或是失竊為資料外洩的主因中第3名,且占資料外洩事件的27%;在產業比例上,有58%的資料外洩事件為醫療保健、教育與政府部門。資料外洩內容上,則以真實姓名、生日、身分證字號最為嚴重,
跟2012年相比,全球針對性的魚叉式釣魚攻擊事件增加了百分之91,而且平均攻擊期間多了三倍。其中,企業的個人助理及媒體公關業者為前二大受駭客青睞的攻擊對象,網路罪犯利用這些對象當跳板,對具有高價值的目標進行攻擊,例如知名人士或企業高層。
在個人方面,38%的智慧型手機使用在過去12個月遭遇過行動網路犯罪,有50%未採取行動裝置的基本保護,例如密碼、防駭軟體或備份檔案。張士龍也說,行動裝置及社群媒體的虛假販售類詐騙持續成長;而新的報告也證實,除了電腦與行動裝置外,其他透過網路連結的物聯網,像是智慧型冰箱、嬰兒監視器等,也都受到網路攻擊的威脅,他形容,以後說不定連免治馬桶都可能要加密碼!
雖然智慧型裝置、Apps、及其它線上服務讓網路罪犯有機會拿到更多的資料,但是企業與消費者可以採取更好的自我保護措施,如巨量資料外洩、針對性攻擊、或常見的垃圾郵件也是需要採取保護的項目。張士龍強調,特別是對網路罪犯來說。具有潛力的獲利模式只會吸引更大規模的攻擊發生,不要認為公司小就沒事!不論大小型公司都需要再檢查、再思考及重新設計他們的資安措施的可能性。 在面對現今嚴重的資安問題,賽門鐵克建議企業採取這些措施:了解資料:保護措施必須針對資訊而非裝置或資料中心。了解敏感資料儲存的位置,這樣有助於找出最佳的保護政策及程序。教育員工:提供指導方針或防護資訊,包括公司在個人及企業裝置上保護敏感資料的政策及程序。採取更強化的資安措施:在資料流失防制、網路安全、終點安全、加密、強式授權制度、及防禦性措施等方面加強資安基礎建設,當然也包括檢視檔案的信譽評等技術。
消費者個人方面:善用智慧防護:安全防護從密碼開始。使用密碼管理軟體為你造訪的每一個網站去強化與建立獨特的密碼,並隨時保持你的個人裝置及智慧型手機上所使用的防護軟體處於最新狀態。提高警覺性:檢查信用卡對帳明細有沒有異常,留意不請自來或是非預期中的email,並注意過於誘人的線上優惠。了解您的溝通對象:熟悉跟你要求銀行或個人資訊的商家及線上服務的政策。若你不得不提供敏感資訊,最好不要隨意點擊email上的連結,而是直接瀏覽該公司的官方網站。
網路安全威脅報告提供一個年度的全球威脅行動概況與分析。此報告是以賽門鐵克的全球智慧型網路為基礎,提供最新攻擊、惡意程式活動、釣魚程式以及垃圾郵件攻擊趨勢分析資料和建議。
記者李鴻典/台北報導NOWnews – 2014年5月1日 下午12:24

2013年10月20日 星期日

個資法真的要來了-企業如何因應個資外洩風險

陳志遠   

前言

保護公司與客戶機密資料不致外洩,一直是資訊安全中十分困難的一個環節。不管是政府單位還是民間企業,都曾發生民眾或客戶資料遭盜竊,成為犯罪的工具與幫兇。民眾與客戶基於對政府或企業的信任,而對於手握機密個資的犯罪行為疏於防範,成為詐騙集團覬覦的目標與詐騙的對象。何其無辜。
善盡重要機密敏感資料保護是企業十分重要的議題,除了避免商譽的損失、客戶流失、損害賠償外,也是對客戶支持與信任的最佳回應。
政府為了落實個人資料的保護與因應日新月異的科技發展,除了不斷編修舊有的”電腦處理個人資料保護法”,更在2010年4月27日由立法院三讀通過新版”個人資料保護法”,除了擴大納入所有非公務機關適用新版個資法規範,更提高民事與刑事責任、並可提起團體訴訟,同時企業需負無故意與過失之舉證責任。這些重大變革讓個資法更具可行性,與舊法相比,新法讓企業必須正視保護個資的責任,並採取行動。同時,民眾與客戶不再是相對弱勢的一群,不再求償無門。其施行細則草案已在2011年10月27日發布,最快2012年下半年可望正式實施。
為了因應新版個資法,其中的資料安全與稽核的要求讓很多企業傷透腦筋,不知道現有的資安系統是不是已經可以滿足要求。下面章節將有系統的分析資料外洩議題,協助企業提升資料外洩防護能力,以符合法規的要求。

一、如何因應新版個資法

從正面的角度來看,新版個資法的訂立對IT人員來說是一件好事,過去即使有心想要擴展公司的資訊安全防禦能力,總會面臨無法取得老闆支持與公司資源的窘境,資訊安全在傳統的台灣企業中其實是被嚴重忽視與低估的。有了新版個資法,總算是能讓IT人員”師出有名”去跟老闆要些經費來補強長久以來企業可能缺乏的資訊安全防禦能力。

面對新版個資法的實施,企業該如何因應?首先要先了解新舊版本個資法的差異,新版個資法的要求事項有哪些?以及新版個資法的實施時程究竟是如何,企業才能據以擬定計畫,回應法規要求。
1.新舊個資法差異

翻開新版個資法法條,洋洋灑灑五六十條八千多字,筆者整理了一些關鍵差異,而也是這些差異迫使企業得積極採取一些行動來符合法規要求。
  • 所有非公務機關皆適用個資法
  • 企業須善盡保護責任,並證明無故意或過失
  • 意圖營利而侵害個資者改為非告訴乃論。可提起團體訴訟
  • 賠償總額提高至2億元,最高刑責五年有期徒刑
其中,在舊版個資法原本規範對象有行業別限制,在新版個資法則取消此限制,所有非公務機關一體適用,也就是所有的企業都納入新版個資法規範。
在新版個資法很重要的部分是,當個資外洩事件發生,企業必須舉證無故意或過失責任,至於過失責任的輕重與否,新版個資法施行細則中的要求事項的落實程度深淺好壞將是很重要的指標。
為遏止個資竊用盜賣等惡意行為,意圖營利而侵害個資的犯罪行為改為非告訴乃論。另可由財團法人或公益社團法人提起團體訴訟,若企業沒有善盡保護個資的責任,在新版個資法施行後,若發生個資外洩而侵害權益者,面臨訴訟的機會大為增加。不再是過去小蝦米對大鯨魚,受害客戶摸摸鼻子自認倒楣息事寧人。
在民事賠償部分,相同事件的總求償金額最高提高至2億元,若是意圖營利犯罪者,最高處五年以下有期徒刑,都較舊版個資法大為提高。更甚者,為加強企業管理人的監督責任,在第五十條規定: 『非公務機關之代表人、管理人或其他有代表權人,因該非公務機關依前三條規定受罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰。』企業老闆也需一併受罰。這條規定讓各企業老闆莫不如履薄冰,謹慎因應新版個資法的到來。
2.新版個資法的要求事項與企業因應措施
根據新版個資法第27條,施行細則中包含針對非公務機關所制定的「適當安全維護措施」,其中包括善良管理人的注意義務,以及12項明訂安全維護事項,藉此防止個人資料被竊取、竄改、毀損、滅失或洩漏。
當個資外洩事件發生,非公務機關過失責任的輕重與否,施行細則中安全維護事項落實程度深淺好壞將是很重要的證明依據。
法務部研擬的12項安全維護事項條列如下:
  1. 必要之組織
  2. 界定個人資料之範圍
  3. 個人資料蒐集、處理或利用之程序
  4. 當事人行使權利之處理程序
  5. 資料安全
  6. 資料稽核
  7. 人員管理及教育訓練
  8. 記錄與證據之保存
  9. 設備管理
  10. 緊急應變措施及通報
  11. 改善建議措施
  12. 其他安全維護事項

『安全維護事項』就是企業因應個資法的重要指導原則。由條列之安全維護事項可知,企業須有專責的編組負責個資保護相關事宜,並且得界定個人資料的範圍,訂立程序以確保個資的蒐集處理利用都能妥善受到保障。
證據與記錄的保存、稽核軌跡的建立與保留也是重要的要求。12項目中,部分項目可由企業內部經由組織的變更與建立作業程序來完成,特別要注意的是第(5)項資料安全的部分,牽涉到企業的資訊安全防禦能力的好壞,對於資安系統的建置與防禦架構是否足以防止個資外洩或遭受侵害,顯然是資料安全維護事項落實與否的重要指標。另第(6)項資料稽核的落實與第(8)項紀錄與證據之保存更是諸多企業客戶頭痛的問題,諸如資料庫的存取是否留有稽核紀錄?檔案的存取、修改、竄改紀錄是否也能稽核保存?
麟瑞科技針對這些棘手問題提供了十分完整且有效的解決方案,可以幫助企業客戶解決這些問題,提升全面的資訊安全資料防護能力。
3. 個人資料保護法發展時序
下圖以時間為橫軸說明了我國個資法的發展進程,預計2012年下半年,施行細則將由行政院公布實施。屆時新版個資法就算完全生效了。

二、資料存取稽核與外洩防護

1. 資料存取稽核 

要討論資料外洩防護議題,就得從原始資料來源從頭到腳的流向分析,從中找出可能產生外洩問題的環節,其實說複雜也複雜,說簡單也簡單---請看圖二,很清楚的把問題的根本點出來了『It’s All about the Data』。
整個流向的中心就是Data,Data會以甚麼樣的方式存在企業內部?其實就是資料庫跟檔案。透過各式各樣的Interface、API、APP、資料才會傳送到公司員工、或是客戶手中。看了這張圖,大家應該很快的能想到,如果要稽核與防護資料的存取行為,checkpoint應該設在哪個節點,效果最好、最快而且可行的?如果讀者有印象的話,上一個章節已經透露端倪---從資料庫與檔案的存取點下手,可以快速提升企業與公司的資料外洩防護能力,同時可以滿足個資法中對於資料稽核的落實要求。
現在大部份的公司針對資料庫與檔案存取防護相當薄弱,筆者接觸客戶時,常會有需求討論跟經驗分享,企業常見的資料庫如Oracle、MSSQL等其實都內建資料庫稽核功能,但是大部份的公司並沒有開啟,開了以後資料庫的效能將大為下降。而且稽核出來的資料可閱讀性差,不具分析問題的能力與效果。更大的問題是記錄了一大堆資料,結果來源都是Application用來開啟Database的account,非真正的使用者帳號,這樣等於有紀錄跟沒記錄一樣。因為所有的來源都是同一個AP帳號。

針對檔案的稽核更是很多企業的迫切需求,共享資料夾、網路磁碟機是大部份企業都會使用的網路服務,可以用來分享公司重要的檔案,方便的同時也存在風險---離職或惡意員工要把檔案一次大量copy走也很方便。這造成很多企業的重大的損失。還有檔案被誰改了、刪除了、copy了、讀取了、這其實是很多企業都會面臨的問題與需求,現在更有個資法的資料稽核要求,迫使企業得尋求檔案稽核的解決方案。
還好有個具有前瞻性的公司看到了這方面的問題,提出前瞻性的產品可以彌補這方面的風險與需求---iMPERVA。
圖三是iMPERVA針對資料安全保護所提出的解決面向---5W1N 。也就是所有資料庫跟檔案的存取,它能提供5W----WHO、WHAT、WHEN、WHERE FROM、HOW這五個完整的資料存取面向資訊,更重要的它還能確保這些行為是不是Normal的。說到這個不得不提iMPERVA這家公司,提到iMPERVA,讀者應該不陌生,很多讀者多半是從
他廣為人知的WAF(Web Application Firewall)產品知道這家公司,這跟資訊防護類型的產品在台灣的發展進程式有關係的,從早期的Friewall到IPS等Layer6以下產品,針對Layer7以上的防護,大概在四五年前就已經開始有些公司注意到諸如SQL INJECTION、XSS、CSRF等漏洞的可怕(其實很多公司已經受害),所以iMPERVA在台灣很早就以WAF產品優異的性能廣為人知,殊不知它其實是做資料庫稽核與防護產品起家的,近來更推出針對檔案存取稽核與權限管理功能。所以針對網頁應用程式存取的安全乃至於資料庫與檔案存取的稽核與安全防護,iMPERVA可以說是市面上唯一具有三合一能力,整合在同一平台的解決方案。
iMPERVA保護資料的解決方案、圖四提供了一個很清楚的說明,不但在重要的資料庫與檔案伺服器前面提供了防護與稽核功能,這些資料彙整回管理平台後,還能跟前端的WAF作使用者的追蹤與關聯,不但能提供最佳的稽核能力與安全防護效能。
同時針對真正使用者的追蹤,iMPERVA具有獨家專利技術,可以找出真正的使用者而非應用程式用來存取資料庫的共享帳號。這大大提升了稽核資料的可用性與可讀性,不會浪費了資源卻記錄了一堆沒有用處的資料(請參閱圖五)。最後關聯出來的結果如圖六所示,把所有該紀錄的東西(5W)清清楚楚的記錄下來,同時還能確保這些是Normal(安全的)存取,可以簡單而且輕鬆的滿足個資法中針對資料稽核的要求。

2. 資料外洩防護
看了上一個章節,可能會有讀者開心的跳起來說: 『我出運了!!我買iMPERVA就可以解決資料外洩的問題了!! 』呃…其實那張圖沒畫錯,但是只畫了一半,當這些資料的存取與稽核需求被滿足了,資料到了同心圓的最外圍(請參考圖七),也就是用戶端、員工手上,那要是從這些地方被外洩了該怎麼辦?
從稽核紀錄會發現,正常的業務使用存取敏感資料跟惡意的資料外洩行為,都會一併被記錄稽核,可是最終我們怎麼去區分哪些使用是因應業務所需的存取?哪些是惡意的資料外洩行為?這就是另一層面的資料外洩防護議題---用戶端的資料外洩防止。
完整的資料外洩防護體系,除了原始資料的稽核與保護,不能缺少的是用戶端資料外洩防止,請參考圖八,這張圖看了實在讓人冷汗直流,圖的中間是內部員工,外圍環繞著的各個item都是可以用來外洩資料的管道,不管是惡意或是無心,只要其中有某個環節形成漏洞,就有機會對企業造成傷害。
為了因應新版個資法的實施,許多企業都在積極尋找解決方案以滿足法規要求,現今企業在資安防禦的投資與多半已付出相當大的心力,多已建置如防毒軟體、防火牆、入侵偵測與入侵防禦、以及內容過濾等資安系統,但還是面臨發生洩露客戶資料與機密資訊的風險。資安解決方案如防火牆與入侵防禦系統對外來的攻擊可以提供不錯的防禦能力,但無法防止資訊外洩的事件,畢竟它們的設計原意並不在此。
現有資料外洩防護系統的瓶頸與難題在於
1、如何判斷哪些是機密敏感資訊?
2、如何阻擋所有可能的外洩管道?
通常MIS人員可能會藉由關鍵字判斷、檔案類型或藉由網站類型的阻擋(如webmail)來阻擋資料外洩,最後的下場往往是擋了一堆不應該擋的東西,而變成全都不能擋也不敢擋。
幸而隨著資訊科技發展,已經有些十分出色的資訊外洩防護解決方案。可以在機密敏感資訊的判讀方面提供十分高度可靠的判斷能力,讓機密敏感資料的判讀準確度大為提高,同時提供多種外洩管道的監看與阻擋功能,可在機密資料不小心或惡意外洩之前,阻止機密性資料從內部流出,有效保護企業資產與客戶資料安全。
如何在現有的資安架構下去選擇適合的資料外洩防護系統?這其實跟企業自身已有的防護能力有直接的關連。在跟客戶訪談需求的時候,筆者有時候會問幾個問題,各位也可以藉由這些問題評估自己公司目前針對資料外洩的防護在甚麼樣的等級。

1. 企業內部對於員工透過公司的電子郵件外洩機密資料怎麼辦?郵件歸檔可以即時防止資料外洩嗎?事後的追查可以查的到嗎?
2. 如果在電子郵件中的附件加密呢?

3. 透過IE等瀏覽器上傳資料到如網路硬碟、gmail/hotmail/yahoomail等網路信
箱怎辦?要是透過SSL (gmail/facebook)加密呢?有沒有可能透過無界或自由
門、Softether這種規避企業安全政策的軟體翻牆出去?

4. 員工透過USB隨身碟可以把機密檔案帶出公司嗎?其實不少企業已經引進
這類型解決方案,但是總是有員工是經過授權可以使用的,依據經驗,企業
中有通常將近三成的員工是被授權可以使用USB隨身碟讀寫。那這類型解
決方案的效果就會大打折扣,因為只有yes or no可以選擇。

5. 員工透過即時通訊軟體如加密的skype、QQ或是msn、yahoo messenger外洩資料怎麼辦?很多業務都要透過即時通訊軟體跟他的客戶建立關係,又不能 禁止他們使用?

6. IPHONE/Android等智慧型手機或是3G無線網卡插上電腦或是NoteBook可以建立另外的INTERNET連線規避公司的政策嗎?

7. 員工透過印表機把客戶資料列印出來帶走,可以防止或紀錄嗎?

8. 員工有沒有可能把自己的NoteBook帶來公司,透過網路芳鄰把資料copy到自己的Notebook上呢?

9. 員工透過智慧型手機等mobile device收發公司內部郵件到手機上,那這些資料不就管不到了? 

如果把上面的問題想過一遍,應該有不少讀者背脊發涼,發現自身的企業已經暴露在相當高的資料外洩風險。其實有些問題是因為即時通訊與3G網路蓬勃發展或智慧型手機的普及才衍生而出的,多數的企業多半已知存在這些問題,卻苦無對策因應。針對這些問題,很多企業都在找尋所謂資料外洩防護(DLP)的解決方案,但是怎樣的解決方案才是有效,全面且部署容易的呢?
筆者聽過很多人談DLP,多半會覺得複雜、困難、建置時間長、資源與人力投入龐大、誤判率高。而望之卻步。這真是誤會大了,其實選擇適合的解決方案與有經驗的合作夥伴,可以讓DLP的導入變得簡單而且有效。
對於前述的DLP議題會碰觸到的難題,現在已經有非常成熟且完整的解決方案,這類型的解決方案通常稱為”Content-Aware Data Leakage Prevention System”,翻成中文就是”內容感知型的資料外洩防護系統”,有別於以往只針對關鍵字、正規表示、字典辭庫、檔案類型等誤判率高而可用性低的傳統的資料外洩防護方式,新型的內容感知資料外洩防護系統不但可以精準的判斷資料傳輸的內容是不是牽涉公司機密敏感資料,更可以全面性地在各個環節達到防護資料外洩的效果。
面對現今複雜多變的資料外洩途徑,有三個面向是使用者評估DLP產品的重要指標:
1.誤判率低---可以精準判斷何為機密敏感資料
圖九為DLP產品用來分析與判斷資料是否為敏感機密內容的方式,市面上DLP產品所使用的技術其實可以以金字塔的形狀來呈現,越往上越少產品能有這樣的技術能力。面對複雜與多樣的客戶環境跟需求,光關鍵字與正規表示式(Regular Expression)、字典辭庫這類型基本的判斷功能將會面臨大量誤判的問題,可用性非常的低。
所謂Content-Aware DLP產品就是為了解決大量誤判問題而衍生而 出的新產品,藉由更先進的判斷技術如提供資料庫與檔案內容(包含部分 檔案內容與完整內容)比對功能,相較於傳統的關鍵字與字典辭庫等傳統 比對方式,新型態的Content-Aware DLP系統可以直接與企業資料庫跟檔 案內容同步,可精確判斷外洩的內容是否真正為公司重要資料。此外 針對身分證字號、信用卡號等具有checksum(檢查碼)特性的資料,技術 領先的DLP產品內建程式化判斷運算檢查碼功能,可避免隨機組成的數 字容易造成系統誤判的情況。
市面上許多防火牆、郵件、網頁閘道系統號稱具有DLP能力,通常 僅能針對關鍵字或檔案類型過濾,這跟市面上較成熟且全面的DLP產品其實存在很大差距。完整的DLP產品除了支援的判斷技術完整(如圖九),且政策訂立與條件設定最好可以任意彈性組合(如圖十),以將誤判率降至最低。
2.涵蓋範圍廣---包含越多外洩管道越好: 如HTTP/HTTPS網際網路、SMTP電子郵件、FTP、網路芳鄰乃至於client端的USB隨身碟、即時通訊軟體、應用程式、印表機列印等。
若外洩管道無法完整涵蓋,就如同容器破了洞,水還是會從漏洞流出去,所以涵蓋範圍的完整性與否,十分關鍵地決定了DLP產品的可用性。圖十一即為Websense Data Security在單一介面,檢視所有涵蓋的外洩管道。一覽無遺。
3.管理簡單,部署容易---理想的DLP系統最好是由精簡的元件組成,可降低部署複雜度。
如果一套DLP系統必須由多台伺服器組成,而且記憶體跟
CPU的等級要求都很高,建置時間長,那就不是很理想了。這表示分析 技術沒有效率,這在整體的使用上會造成很大的問題,再深究下去會發 現這類型的系統在很多層面有隱藏的”地雷”跟”但書”。而且困難的部署將造成DLP系統建置的困難。簡單的元件組成更有助於政策管理與發佈。
Content-Aware DLP這類新型態的資料外洩防護系統,在個資法雷厲風行的施行之際,可有效地替客戶解決了用戶端資料外洩的問題。不但可以防止資料外洩,還有教育與遏止員工外洩資料的念頭,所留存的證據更可作為企業在面臨訴訟時保護與舉證之用。
尤其針對金融與電子商務或政府單位等掌握大量個人資料的企業與機關更收奇效。在筆者協助客戶導入的過程中,這類掌握大量個資的客戶通常都可以藉由有效率的政策設定,快速地解決用戶端資料外洩的問題。不僅保護了重要的客戶資料,也保住了商譽更避免了公司的傷害跟損失,兼顧法律層面的要求與企業的永續經營的信念。

結語

由前述章節可知,個資法針對企業保護個資的要求落實,可以從兩個層面來看(見圖十三):
  1. 原始資料的存取稽核與防護
  2. 使用者端的資料外洩防護
重要資料的存取稽核絕對是在個資法中被強烈要求的事項,這在資料外洩防護策略中是為部署於server端的第一防線。同時因應業務需要,員工會被授權直接碰觸或處理重要的敏感資料,如何規範與保障這些敏感資料的合理運用,確保資料流動僅限於公司內部業務所需不致外洩,則是屬於client端的資料外洩防護議題,也就是第二道防線。
在資料流動的重要關鍵點建立checkpoint,是資料外洩防護一個很重要的概念,也可讓防禦系統的建立變得很簡單。選擇合適的解決方案與專業有經驗的合作夥伴更是系統導入的重要考量。

有客戶問筆者,這樣就做可以符合個資法了嗎?其實善良管理人的認定與罰責的輕重是相對的概念不是絕對的概念,在企業能力範圍內,能做該做而不去做,自然就有被質疑的空間。盡力強化企業防護系統,降低風險,除了可以滿足法規要求,也是對企業本身和對客戶負責任的表現。

參考文件:
  1. 法務部網站 http://www.moj.gov.tw
  2. iMPERVA 官方網站 http://www.imperva.com
  3. Websense 官方網站 http://www.websense.com

2013年7月6日 星期六

冒刻章挑肥羊 莊雅清仲介植牙賺4千萬

媚登峰創辦人莊雅清,被檢舉販賣過期品,還傳出她指示美容師拿貴婦客戶的身分證影本,再盜刻印章,向國稅局查薪資所得,挑肥羊下手促銷,而這次還查出,莊雅清轉介貴婦給牙醫陳俊龍植牙,兩人六、四拆帳,而陳俊龍在美國執業,在台灣根本沒有執照,據傳有貴婦讓陳俊整口植牙,就花了45萬美金,台幣1300多萬,等於是裝了一棟房子在嘴巴上。
獨創五合一植牙手術,技術享譽國際,陳俊龍擁有哈佛牙醫博士學位,還是前第一千金陳幸妤的老師。牙醫陳俊龍:「會痛嗎?」
只能在旁邊指導學生,陳俊龍國外執業,在台灣沒有執照,但這次媚登峰集團董事長莊雅清,被檢舉販過期品,還被檢調發現,莊雅清仲介貴婦給陳俊龍植牙,兩人六、四拆帳,傳出莊雅清從2011年開始,已經介紹18人,分傭4千多萬,而有貴婦找他做全口植牙,花了45萬美金,相當於台幣1300多萬,等於是裝了一棟房子在嘴巴上。
媚登峰負責人莊雅清:「我們會徹查。」
根據調查,莊雅清涉嫌讓美容師,拿客戶身分證影本,再盜刻印章,向國稅局查薪資所得,挑肥羊促銷。藝人包翠英:「重回舞台,我學會了珍惜。」
多年前找來包翠英和小象隊董玉婷,拍攝瘦身廣告,將媚登峰名氣推上高峰,卻也被對手黃河南質疑,是抽脂減肥,雙方纏訟多年,最後對方和解道歉。藝人董玉婷:「Trust me、you can make it。」
廣告台詞眾所皆知,2007年花10幾億,在上海設旗艦店,莊雅清兩年前再嫁醫師,感情世界和官司爭議都相當引人注目。