面对个资法 文件加密控管更重要 智能应用 影音
MongoDB
ST Microsite

面对个资法 文件加密控管更重要

  • DIGITIMES企划

随着云端应用服务环境日臻成熟,愈来愈多的个人或企业,也开始将愈来愈多的数据,存放在透过网络可以随时存取的环境中,其中自然不乏敏感的机密数据及重要个资。

由于个资被非法使用的频率与数量,有日渐升高的趋势,新版个人数据保护法在2012年7月1日上路后,希望藉由更完整的法令以及更严峻的处罚规定,让企业能够更加积极维护重要文件、防范个资外泄的事件发生,以避免当事人产生困扰及遭逢损失。

新版个资法通过后,企业在控管文件时,更要特别小心,以免触法。DIGITIMES摄

新版个资法通过后,企业在控管文件时,更要特别小心,以免触法。DIGITIMES摄

个资外泄事件层出不穷 防不胜防

但百密难免一疏,除了在今年2月Nokia发生个资法实施后,最大宗个资外泄事故,有150万笔个资被窃,在5月份,国内信托网站的缴费中心也爆发重大个资外泄事件,不但直接从网站缴费项目下拉选单中,就能轻易浏览及查询其他用户的代缴数据,包括姓名、电话及手机号码,出生年月日等重要个资。根据金管会接获中信金的回报,受到影响的用户有33,000名。

国内信托缴费中心网站发生个资外泄的原因,目前还在调查中,中信金表示,发生异常的是网络银行「缴费中心」的常用帐号设定功能,这是专供客户自行设定缴费项目及代号数据,和其他网络银行的功能无关,也没有承认有个资外泄,仅表示将主动通知受骇用户。

中信金指出,不排除有心人士破坏,并向警方备案。国内信托更强调,已加强监控追踪,以防止类似事件再次发生,另外也委托监识单位协助调查。

网安专家指出,如果是内部疏失,有可能是数据库程序设计的问题,查询数据条件过于宽松,导致使用者能查询到权限以外的数据。而系统问题未能及早发现的原因,则包括系统上线前的测试环节不够严谨,案例不够完备,企业未来应该要妥善制定好开发流程,才能避免类似事情发生。

目前已有个资遭到外泄的用户表示,将会依法控诉企业未善尽用户个资保管责任。根据新版个资法,企业一旦发生个资外泄事件,除需提供相关数据、纪录,以说明内部确实提供完善保护用户数据,发生外泄数据事件,每人每件依法可求偿500到2万元不等金额,最高求偿金额为2亿元。

文件加密可有效降低数据外泄风险

无独有偶的是,全球最大团购网Groupon酷朋台湾,日前也传出遭黑客入侵,所幸酷朋台湾及时发现,粗估约有一成的会员帐号口令等数据遭窃,目前安全漏洞已修复,仅知黑客并非来自台湾,必须循IP进行追查,还须要一段时间,才能进行下一步的追查动作。

由酷朋台湾的案例更可看出,觊觎网站个资的黑客,可说是来自全球各地,而且愈来愈多的黑客,已经不单纯只是展现实力或恶作剧而已,而是有意识的恶意攻击,希望能借此博取暴利。以酷朋台湾会员数多达380万人为例,如果泄漏的是银行帐号、信用卡卡号、或身份证号码信用卡号码等重要个资,就得面临巨额赔偿的压力。

优硕信息科技指出,企业面对个资法时代的来临,除了应对个资法条文进行认知宣导及教育,并清查盘点企业拥有的个资档案外,更重要的是,为了满足企业对文件保护与控管的需求,必须结合两大技术,分别为加密技术和DRM技术。加密可采用RSA、 AES对称金钥和非对称金钥加密技术混合运用的方式,将需要保护的文件加密起来,被准予的使用者才可以开启加密文件,不相关的使用者则无法开启加密文件。

此外,企业也可使用DRM(Digital Rights Management)技术,针对每份文件做到不同使用者分别授与不同使用权限,权限可细分为读、印、存、写、截图和阅读期间等,透过不同权限的授与,让有权利对数据内容做处理运用的使用者,获得较大的操作权限。

每份加密文件都必须要有一份专属的文件政策,记录可以开启这份文件的使用者,以及开启后的操作权限。当发现使用者试图或有可能做泄密的行为时,管理者可随时回收或更改权限,降低数据外泄造成的损害。以符合个资法要求,达到事前防范、事后减少损害与诉讼的目的。

做好文件加密及控管 企业方能取得信任

除了加密技术外,文件的控管也非常重要。优硕信息科技认为,一套好的文件安控系统,在管理上要有一定的弹性与便利性。系统可将最高管理者的权限下放给各部门主管,让他们去当所属部门的管理者,分担最高管理者的责任,另一方面,由于这些管理者对其部门较为熟悉,更清楚要如何制定和管理文件政策、要授权多大权限给其下的使用者、并可实时稽核文件使用状况,达到分层管理的目的。

国家高速网络与计算中心副研究员蔡一郎指出,在当今的海量数据(Big Data)时代,主流的储存媒体大多达到TB级以上的容量,透过云端服务,可创造信息服务更大的可能性,但如何提高客户对于云端服务的信任程度,是决定云端服务成败关键因素,其中针对信息的保密与保全,是目前的主要的关键,企业必
更审慎的面对文件加密及控管的需要,才能在云端服务及海量数据时代来临时,取得客户的信任。