2010年6月18日 星期五

個資與機密都不容外洩

http://www.ithome.com.tw/privacylaw/article/61647
文/李宗翰 (記者) 2010-06-09

該如何防止資料外洩呢?企業還是該從清查你手上有那些資料類型開始做起,並且明確界定出那些該優先保 護。


(原文刊載於iThome周刊418期)
我們重視資料安全的程度真的不夠。這類問題到現在仍然層出不窮。今年6月,我們報導了東森購物個資外洩疑似內部流出的消息,最近校園二手書教科書交換的網 站也發生1.6萬筆個資外洩;回顧去年,網路報稅、31萬基測考生個資也遭到外洩。

從2005年到現在,相關事件頻傳,而且發生的原因也不太一樣,例如有些是單位的使用者故意攜出,或是因為操作錯誤、個人疏忽、環境因素而無意中傳送出 去,例如擅自安裝P2P應用程式,將資料分享出去;有些則是遭到駭客入侵或被植入惡意程式、側錄,或者是透過社交詐騙、實體紙本竊取的方式取得。除了使用 者和外部強行入侵之外,IT人員對於所開發、管理的應用系統,如果疏於防範,沒有嚴密管制保護使用者所輸入的資料,也一樣有可能造成資料外洩。

這顯示了幾件事,我們對於資訊安全的概念仍停留在系統安全、網路安全的角度,總以為注意這兩部份即可,使用者或IT人員也不太重視經手資料的價值,沒有人 察覺弊病叢生的狀況,等到有人揭發、媒體踢爆,因而客戶抗議、公司的形象受損,才發覺問題的嚴重性。

比起病毒大幅擴散或伺服器服務停擺,企業往往不容易及早發現、掌握這類事件。隨著新版個人資料保護法進入審查和政黨協商的階段,企業必須更加正視無法保護 資料、造成被害人損失的嚴重後果──龐大的賠償金額。不論是賠償總額上限為10億元,或是每人每一事件賠償2萬至10萬元,同時無賠償上限。

那麼,該如何防止資料外洩呢?企業還是該從清查你手上有那些資料類型開始做起,並且明確界定出那些該優先保護,傳統的端點安全和網路安全防護是最基本的, 先安外,針對無時無刻都在企圖入侵和感染系統的惡意程式做起,再攘內,逐步作好內部控管。我們這次所實測的資料外洩防護產品即是屬於後者,針對的對象主要 是企業內部的各種資料存取動作,涵蓋的範圍包括擁有共享資料夾的檔案伺服器、蘊藏大量交易資料的資料庫系統,以及個人端電腦。

簡單地說,這些產品要做到防止外洩,首先要找到欲管制的對象,通常不外乎格式比對、關鍵字過濾和特徵辨識等幾種方式,透過對於資料內容的分析、加註來判斷 是否經過授權,並可從個人端電腦的代理程式搭配網路閘道來協防,限縮資料輸出的所有管道,因此本機的周邊裝置、應用程式的控管,以及各種網路傳輸方式,也 都要涵蓋在內。

至於文件安全控管,比較適合需要流通至外面的資訊,例如公司之間的資訊交換、業務往來。如果是擔心電腦、儲存裝置遺失而讓資料外流,就比較適合搭配磁碟/ 磁帶加密的做法來管制。(請見第26頁)

除了積極保護所擁有的資料之外,為了降低風險,企業在蒐集客戶資料時也要考量,是否一定要記錄某些欄位,例如為了確保資料的唯一性,有些市場調查會要求受 訪者填上完整的身分證字號,這不必然能保證是本人,還是可以透過程式產生器來提供非本人的身分證字號;另一方面對企業來說,仍然可以透過其他方式來過濾無 效資訊,因而就減少保管大量身分證字號資料的風險。

企業要保護資料,但使用者本身也要更主動去捍衛自己的隱私,就如同使用者自己主動將資料張貼到網路上之後,是否仍保有擁有權,這有很大的爭議。例如 Plurk上正妹猛男牆所引發的圖片使用權的討論,以及更早之前Facebook的隱私權條款論戰,都值得網站經營者和用戶多加注意。