活用加解密提升营业秘密和个资保护力
当前的企业网安正面临非常严峻的挑战,尤其是愈来愈多的企业机密,被更多信息部门以外的人员掌握时,企业网安问题更形复杂。精品科技网安顾问许佑福指出,信息部门人员其实在对抗外界威胁的表现还不错,但对于内部营业秘密的保护,可能要更为用心,才能避免更严重的网安事故发生。
根据商业管理协会(Institute of Commercial Management)研究报告指出,白领工作者平均每周处理11份机密营业文件,而且这些机密文件常常会在不必要的情况下曝光。报告指出,39%的工作者曾经将客户数据寄出公司,52%的员工曾在离职时,将工作数据带走;86%的员工坦承习惯性将邮件转寄其他人;26%的员工甚至会使用免费信箱寄送工作数据。
从前述统计可以发现,许多企业营业机密,可能就会在员工不经意的状况下流出。许佑福指出,根据国际电脑安全协会报告(ICSA Security Report),60%的泄密事件,其实是来自企业内部,只有15%是来自外部入侵,这也代表企业对于企业内部信息机密的保护,还不是很周全。
除了内部员工因为调动职务或离职,没有做好交接或不慎遗失外,也有员工是因为对公司不满,而窃取数据,商业间谍也是数据外泄的原因之一。此外,员工出差及外派人员也可能会不慎将机敏档案外流,就连委外或合作厂商,也可能因为作业疏失、文件交换分享等因素,导致机敏档案处理风险发生。
而新版个资法上路10个月以来,许多个资外泄事件上了新闻,也让不少企业因此更加重视个资法的网安问题,新版营业秘密法也提高泄漏营业秘密者的刑事责任与罚金,最高可处10年以下有期徒刑,得最高处5,000万元罚金,相当于伤害罪,但许佑福表示,企业不能因此就觉得高枕无忧。
因此,企业有那些营业秘密真正受到保护,不是老板说了就算,而是需要符合法律要件,如法律认定的机密数据,包括生产、销售及营运信息,但成立要件并不是很明确,检验原则包括秘密性、合理保密性及价值性,企业必须善尽举证责任,才能在法庭上有效主张自己的权益。
许佑福表示,为了避免信息外泄,企业可以着手采取的行为,包括与员工订定保密契约,也可以透过保密技术,保护敏感的业务信息,或是透过管理的手段,不断的监控及稽核,让企业数据能够一直处于保护的状况。
事实上,企业针对机密数据,是否有采取合理的保护措施,往往正是法律诉讼时的主要争议点,也是营业秘密保护的核心原则。许佑福强调,唯有先了解法治的保护规定,才能真正延伸实务的技术防护。
而面对移动设备的盛行,企业机密数据也面对更为复杂的威胁。许佑福表示,设备遗失、透过恶意程序窃取信息、APP网安威胁、设备弱点、通讯网安威胁、管理功能不足,都是企业必须防护的重点。
许佑福强调,相较于企业过去使用的科技设备,多半由企业配发,使用地点也比较固定,可以针对硬件做好防护,而现在的移动设备,不但使用时间及地点不固定,而且还可能是员工自行携带,数据外泄的可能性,也比过去更高。
事实上,从法律成立要件的角度来看,企业如果没有针对移动设备或上面的数据,积极加以保护,一旦发生信息外泄事故,可能在举证方面,也会碰到问题。因此移动设备上的机密数据保护措施,不能只是着重硬件,数据本身的加密,也一样重要。
许佑福建议企业,首先要针对BYOD订定一套合理的管理政策,那些装置可以带、可以使用哪些数据,可以使用到哪个程度,都需要订定出来,让员工能够有所依循。
为了有效落实信息安全防护,许佑福认为,数码档案及纸本档案都要管理,纸本档案要设法数码化,才方便加密。技术面的落实,则是可以寻求网安解决方案,如DLP/DRM等。
DLP的防护特性,是以装置、AP为主体。许佑福指出,如果与实体世界对照,端点式DLP就像监视器。他除了可以在不改变使用者的使用下,透过记录的方式,将所有的行为记录起来。此外,也可以透过控管的方式,禁用或开放特定装置,达到防止数据外泄的效果。
DRM保护则是以文件为主体,如果与实体世界对造,控管就像保险箱。主要透过透明加解密技术,如文件存档时,以及上传到WEB网站或档案服务器时,就会自动加密。透过与Mail Server的搭配让接受到的E-mail只要含有附件,也会自动加密,藉由各种使用管道的自动加密,提升使用者对于文件加密技术的接受度。
许佑福强调,文件的整个生命周期都需要被保护,包括建立、更名、打印、修改、复制、回收、销毁等,必须要完整记录使用过程,日后才能作为稽核追踪的依据。
除了不同的加密应用方式外,建立DEC数据加密中心的架构,也非常重要。除了文件使用记录、统计外,还可对文件追踪稽核,更可提供定期报表与风险警示。以履历处理为例,人资可将履历
另存进DEC中,DEC就自动加密保护,用人单位只能唯读,面试有需要时,由人资打印,并打印时会加上打印人员姓名浮水印,整个面试流程结束后,使用权也会自动回收,以确实达成新版个资法要求企业善尽文件保管的责任。
许佑福最后强调,藉由自动加密及通知的设计,不会增加使用者的工作负担,企业机密营运数据的保护,也更能落实,确保企业营运的信息安全。