面對個資法 文件加密控管更重要 智慧應用 影音
MongoDB
Event

面對個資法 文件加密控管更重要

  • DIGITIMES企劃

隨著雲端應用服務環境日臻成熟,愈來愈多的個人或企業,也開始將愈來愈多的資料,存放在透過網路可以隨時存取的環境中,其中自然不乏敏感的機密資料及重要個資。

由於個資被非法使用的頻率與數量,有日漸升高的趨勢,新版個人資料保護法在2012年7月1日上路後,希望藉由更完整的法令以及更嚴峻的處罰規定,讓企業能夠更加積極維護重要文件、防範個資外洩的事件發生,以避免當事人產生困擾及遭逢損失。

新版個資法通過後,企業在控管文件時,更要特別小心,以免觸法。DIGITIMES攝

新版個資法通過後,企業在控管文件時,更要特別小心,以免觸法。DIGITIMES攝

個資外洩事件層出不窮 防不勝防

但百密難免一疏,除了在今年2月Nokia發生個資法實施後,最大宗個資外洩事故,有150萬筆個資被竊,在5月份,中國信託網站的繳費中心也爆發重大個資外洩事件,不但直接從網站繳費項目下拉選單中,就能輕易瀏覽及查詢其他用戶的代繳資料,包括姓名、電話及手機號碼,出生年月日等重要個資。根據金管會接獲中信金的回報,受到影響的用戶有33,000名。

中國信託繳費中心網站發生個資外洩的原因,目前還在調查中,中信金表示,發生異常的是網路銀行「繳費中心」的常用帳號設定功能,這是專供客戶自行設定繳費項目及代號資料,和其他網路銀行的功能無關,也沒有承認有個資外洩,僅表示將主動通知受駭用戶。

中信金指出,不排除有心人士破壞,並向警方備案。中國信託更強調,已加強監控追蹤,以防止類似事件再次發生,另外也委託鑑識單位協助調查。

資安專家指出,如果是內部疏失,有可能是資料庫程式設計的問題,查詢資料條件過於寬鬆,導致使用者能查詢到權限以外的資料。而系統問題未能及早發現的原因,則包括系統上線前的測試環節不夠嚴謹,案例不夠完備,企業未來應該要妥善制定好開發流程,才能避免類似事情發生。

目前已有個資遭到外洩的用戶表示,將會依法控訴企業未善盡用戶個資保管責任。根據新版個資法,企業一旦發生個資外洩事件,除需提供相關資料、紀錄,以說明內部確實提供完善保護用戶資料,發生外洩資料事件,每人每件依法可求償500到2萬元不等金額,最高求償金額為2億元。

文件加密可有效降低資料外洩風險

無獨有偶的是,全球最大團購網Groupon酷朋台灣,日前也傳出遭駭客入侵,所幸酷朋台灣及時發現,粗估約有一成的會員帳號密碼等資料遭竊,目前安全漏洞已修復,僅知駭客並非來自台灣,必須循IP進行追查,還須要一段時間,才能進行下一步的追查動作。

由酷朋台灣的案例更可看出,覬覦網站個資的駭客,可說是來自全球各地,而且愈來愈多的駭客,已經不單純只是展現實力或惡作劇而已,而是有意識的惡意攻擊,希望能藉此博取暴利。以酷朋台灣會員數多達380萬人為例,如果洩漏的是銀行帳號、信用卡卡號、或身分證號碼信用卡號碼等重要個資,就得面臨巨額賠償的壓力。

優碩資訊科技指出,企業面對個資法時代的來臨,除了應對個資法條文進行認知宣導及教育,並清查盤點企業擁有的個資檔案外,更重要的是,為了滿足企業對文件保護與控管的需求,必須結合兩大技術,分別為加密技術和DRM技術。加密可採用RSA、 AES對稱金鑰和非對稱金鑰加密技術混合運用的方式,將需要保護的文件加密起來,被准予的使用者才可以開啟加密文件,不相關的使用者則無法開啟加密文件。

此外,企業也可使用DRM(Digital Rights Management)技術,針對每份文件做到不同使用者分別授與不同使用權限,權限可細分為讀、印、存、寫、截圖和閱讀期間等,透過不同權限的授與,讓有權利對資料內容做處理運用的使用者,獲得較大的操作權限。

每份加密文件都必須要有一份專屬的文件政策,記錄可以開啟這份文件的使用者,以及開啟後的操作權限。當發現使用者試圖或有可能做洩密的行為時,管理者可隨時回收或更改權限,降低資料外洩造成的損害。以符合個資法要求,達到事前防範、事後減少損害與訴訟的目的。

做好文件加密及控管 企業方能取得信任

除了加密技術外,文件的控管也非常重要。優碩資訊科技認為,一套好的文件安控系統,在管理上要有一定的彈性與便利性。系統可將最高管理者的權限下放給各部門主管,讓他們去當所屬部門的管理者,分擔最高管理者的責任,另一方面,由於這些管理者對其部門較為熟悉,更清楚要如何制定和管理文件政策、要授權多大權限給其下的使用者、並可即時稽核文件使用狀況,達到分層管理的目的。

國家高速網路與計算中心副研究員蔡一郎指出,在當今的海量資料(Big Data)時代,主流的儲存媒體大多達到TB級以上的容量,透過雲端服務,可創造資訊服務更大的可能性,但如何提高客戶對於雲端服務的信任程度,是決定雲端服務成敗關鍵因素,其中針對資訊的保密與保全,是目前的主要的關鍵,企業必
更審慎的面對文件加密及控管的需要,才能在雲端服務及海量資料時代來臨時,取得客戶的信任。