活用加解密提升營業秘密和個資保護力
當前的企業資安正面臨非常嚴峻的挑戰,尤其是愈來愈多的企業機密,被更多資訊部門以外的人員掌握時,企業資安問題更形複雜。精品科技資安顧問許祐福指出,資訊部門人員其實在對抗外界威脅的表現還不錯,但對於內部營業秘密的保護,可能要更為用心,才能避免更嚴重的資安事故發生。
根據商業管理協會(Institute of Commercial Management)研究報告指出,白領工作者平均每周處理11份機密營業文件,而且這些機密文件常常會在不必要的情況下曝光。報告指出,39%的工作者曾經將客戶資料寄出公司,52%的員工曾在離職時,將工作資料帶走;86%的員工坦承習慣性將郵件轉寄其他人;26%的員工甚至會使用免費信箱寄送工作資料。
從前述統計可以發現,許多企業營業機密,可能就會在員工不經意的狀況下流出。許祐福指出,根據國際電腦安全協會報告(ICSA Security Report),60%的洩密事件,其實是來自企業內部,只有15%是來自外部入侵,這也代表企業對於企業內部資訊機密的保護,還不是很周全。
除了內部員工因為調動職務或離職,沒有做好交接或不慎遺失外,也有員工是因為對公司不滿,而竊取資料,商業間諜也是資料外洩的原因之一。此外,員工出差及外派人員也可能會不慎將機敏檔案外流,就連委外或合作廠商,也可能因為作業疏失、文件交換分享等因素,導致機敏檔案處理風險發生。
而新版個資法上路10個月以來,許多個資外洩事件上了新聞,也讓不少企業因此更加重視個資法的資安問題,新版營業秘密法也提高洩漏營業秘密者的刑事責任與罰金,最高可處10年以下有期徒刑,得最高處5,000萬元罰金,相當於傷害罪,但許祐福表示,企業不能因此就覺得高枕無憂。
因此,企業有那些營業秘密真正受到保護,不是老闆說了就算,而是需要符合法律要件,如法律認定的機密資料,包括生產、銷售及營運資訊,但成立要件並不是很明確,檢驗原則包括秘密性、合理保密性及價值性,企業必須善盡舉證責任,才能在法庭上有效主張自己的權益。
許祐福表示,為了避免資訊外洩,企業可以著手採取的行為,包括與員工訂定保密契約,也可以透過保密技術,保護敏感的業務資訊,或是透過管理的手段,不斷的監控及稽核,讓企業資料能夠一直處於保護的狀況。
事實上,企業針對機密資料,是否有採取合理的保護措施,往往正是法律訴訟時的主要爭議點,也是營業秘密保護的核心原則。許祐福強調,唯有先了解法治的保護規定,才能真正延伸實務的技術防護。
而面對行動裝置的盛行,企業機密資料也面對更為複雜的威脅。許祐福表示,設備遺失、透過惡意程式竊取資訊、APP資安威脅、設備弱點、通訊資安威脅、管理功能不足,都是企業必須防護的重點。
許祐福強調,相較於企業過去使用的科技設備,多半由企業配發,使用地點也比較固定,可以針對硬體做好防護,而現在的行動裝置,不但使用時間及地點不固定,而且還可能是員工自行攜帶,資料外洩的可能性,也比過去更高。
事實上,從法律成立要件的角度來看,企業如果沒有針對行動裝置或上面的資料,積極加以保護,一旦發生資訊外洩事故,可能在舉證方面,也會碰到問題。因此行動裝置上的機密資料保護措施,不能只是著重硬體,資料本身的加密,也一樣重要。
許祐福建議企業,首先要針對BYOD訂定一套合理的管理政策,那些裝置可以帶、可以使用哪些資料,可以使用到哪個程度,都需要訂定出來,讓員工能夠有所依循。
為了有效落實資訊安全防護,許祐福認為,數位檔案及紙本檔案都要管理,紙本檔案要設法數位化,才方便加密。技術面的落實,則是可以尋求資安解決方案,如DLP/DRM等。
DLP的防護特性,是以裝置、AP為主體。許祐福指出,如果與實體世界對照,端點式DLP就像監視器。他除了可以在不改變使用者的使用下,透過記錄的方式,將所有的行為記錄起來。此外,也可以透過控管的方式,禁用或開放特定裝置,達到防止資料外洩的效果。
DRM保護則是以文件為主體,如果與實體世界對造,控管就像保險箱。主要透過透明加解密技術,如文件存檔時,以及上傳到WEB網站或檔案伺服器時,就會自動加密。透過與Mail Server的搭配讓接受到的E-mail只要含有附件,也會自動加密,藉由各種使用管道的自動加密,提升使用者對於文件加密技術的接受度。
許祐福強調,文件的整個生命週期都需要被保護,包括建立、更名、列印、修改、複製、回收、銷毀等,必須要完整記錄使用過程,日後才能作為稽核追蹤的依據。
除了不同的加密應用方式外,建立DEC資料加密中心的架構,也非常重要。除了文件使用記錄、統計外,還可對文件追蹤稽核,更可提供定期報表與風險警示。以履歷處理為例,人資可將履歷
另存進DEC中,DEC就自動加密保護,用人單位只能唯讀,面試有需要時,由人資列印,並列印時會加上列印人員姓名浮水印,整個面試流程結束後,使用權也會自動回收,以確實達成新版個資法要求企業善盡文件保管的責任。
許祐福最後強調,藉由自動加密及通知的設計,不會增加使用者的工作負擔,企業機密營運資料的保護,也更能落實,確保企業營運的資訊安全。