藉由数码监识 强化泄密事件应变处理

伴随勒索病毒肆虐、云端储存数据外泄、移动App安全等议题延烧，加上物联网攻击威胁加温，使企业面临巨大风险，为了守护机敏数据，便投入可观资源建立防御架构；但再高的城墙迟早被攻破，不少企业逐渐意识这般现实，开始导正事件回应的做法与态度，以期减少冲击、重建客户信心，连带让「数码监识」重要性水涨船高。

影响所及，近几年不少网安产品，纷纷宣称具有数码监识能量，但多数产品仅具保存日志(Log)功能，这些Log能否协助企业向泄密者究责？证明自身已尽良善管理义务？着实有待商榷。

现任台湾数码监识发展协会副秘书长，同时兼任中华数码科技、鉴真数码等顾问职务的许大千，强调「数码监识」系以周延的方法、技术及程序，保存、识别、抽取、记载与解读电脑网络媒体数码证据，并分析其成因之科学，须完整满足合法蒐证、完整纪录、严谨流程、防止窜改、证物保全等要件，才能在法庭展现说服力、公信力与证据力。

由此看来，企业即便导入含有数码监识功能的产品，也未必能在营业秘密诉讼取胜，要做的事还很多。首要之务，企业宜先全面盘点营业秘密与风险评估，把可能动摇经营根基的所有纸本或数码数据，依序标示不同机密等级，施以不同级别管制，且量化各机密的商业价值。

其次企业须厘清所有潜在威胁来源，包括外部专业黑客、竞争对手、客户、供应商或合作夥伴，甚至政府单位，及内部高端主管、管制职务、技术人员与离职员工，并因应不同来源建立对应管控机制。

可惜的是，许大千发现多数企业不论在关键机敏数据保全、或数码监识架构的建立，皆有莫大改善空间。首先在实体管理面，企业最常犯的错误是「人员认知普遍不足」，甚至未曾举办网安教育训练，其余常见缺失还包括「管理制度未臻健全」、「管制职务管理欠周详」及「实体监控设施不足」。

其中管理制度健全与否，除了端看企业是否针对高端主管、离职员工或其他管制职务，乃至第三方厂商等不同角色，制定合理管制措施，另对于外宾参访内部厂房的路线安排、简报内容去识别化，也要有缜密规划。

其次在信息技术面，同样有亟待精进之处，一方面务须保存相关稽核记录，尤其莫要为了节省硬盘空间，便任意覆盖Log或压低CCTV像素，中小企业不妨可善用第三方SOC或储存空间等服务，弥补经费不足的缺口；二方面善尽信息媒体保全，特别针对离职员工缴回的电脑或硬盘，做好备份保存；三方面应定期实施员工训练。

有赖长官支持  循序建立监识能量

至于数码监识能量的建立，许大千建议企业先做好强化法规遵循、取得长官认同支持、投入适度资金、加强人员应变能力、采购合用的网安辅助设备、确保管理与技术整合等基本功，接着朝向事前预防、事发调查、事后回复三管齐下。

所谓事前预防，首重建立事件处理程序(SOP)，并设置异常行为稽核与监控、信息媒体管制与封存等机制，同时不忘建立对外沟通平台，与外部数码监识服务商、营业秘密管理顾问及检调单位持续交流。事发调查部份，需由企业偕同专业机构，齐力做好损害评估与控制、事件通报与记录、证据蒐集暨保全、证据监识及调查、监识分析报告撰写等工作，透过时间轴分析来还原犯罪现场。

在事后回复方面，一来需借助第三方专业机构引导，建立完备的法庭专家证人，二来有赖运用企业平日建立的备份备援资源，尽速进行业务回复与改善。