扎稳基础防护 力求个资外泄极小化 智能应用 影音
EVmember
member

扎稳基础防护 力求个资外泄极小化

  • 阚大成

企业防范机密数据外泄,首要之务即是善尽个资机敏档案的盘点工作;图为Privacy ID个资扫瞄结果示意图。安资捷
企业防范机密数据外泄,首要之务即是善尽个资机敏档案的盘点工作;图为Privacy ID个资扫瞄结果示意图。安资捷

如何善尽数据外泄防护,对各行各业而言,无疑都是至关重大的严峻课题,只因为随着新版个资法、新版营业秘密法相继上路,彷佛为所企业机构罩上了层层紧箍咒,稍有不慎便将惹祸上身,轻则承受罚款大伤元气,重则甚至动摇经营根基。

众所周知,新版个人数据保护法,已于2012年底正式上路,但不少企业却已从一开始戒慎恐惧,逐渐选择性淡忘此事,甚至还自我庆幸,认为尽管个资法期初声势浩大,但施行至今并未滋生过多纠葛,决定暂且停看听,先以防火墙、防毒、入侵侦测系统(IPS)等基本网安配备因应即可。

但上述苟且偷安心态,真的「恰如其分」?答案肯定是错误的,此乃由于,个资法绝对不仅止于虚晃一招,而持续如影随形紧紧缠绕每一企业机构!

先看海外案例。2004年,惊传黑客入侵美国陆军信息系统工程指挥部、国防信息系统局等重要军事机构,窃取的数据量达20TB以上。2009年,位在加拿大的多伦多的蒙克国际研究中心赫然发现,一个名为「鬼网」(GhostNet)的电脑间谍组织,利用两年布局时间,成功入侵全球103个国家共计1,259台电脑,受骇单位遍及外交机构、大使馆、国际组织、媒体及非营利组织。

2010年,伊朗核电厂惨遭Stuxnet蠕虫攻击,其高速离心机控制设备沦为黑客禁脔,险些酿成核爆之巨大灾厄。2011年,美国前三大军火商与日本大厂Sony,相继遭到黑客攻击,导致大量机密数据。2013年3月20日,韩国遭受震惊全球的大规模「进阶持续性渗透攻击(APT)」攻击,共计波及6间金融机构、3家电视台,造成相关企业的网络与服务中断,部分网络银行及ATM服务停止运作,顿时使该国陷入一片混乱。

看到这里,不免有人纳闷,上述案例纵然血泪斑斑,但受骇层次已偏向国防、外交、金融等至高位阶,与台湾企业所面对的个资法,又有何干?

内外威胁交迫 不容企业掉以轻心

然而透过这些个案,无异诉说着Cyberwar时代已然来临,上至政府机关,下至民间企业或非营利组织,无论有意或无意参战,通通都已置身在战场之中;随着黑客攻击手法不断精进、威胁指数急遽飙升,企业必须扪心自问,光是凭藉基本网安配备建构防御工事,挡得了黑客船坚炮利的猛烈袭击?假使挡不住,那怕企业视为瑰宝的机敏个资,岂不让人予取予求?一旦遭此不幸,企业恐难脱离个资法究责风暴!

前述案例,均是指向外部有心人士入侵,因而导致机密数据外泄,但其实数据泄漏的破口,绝不仅止于黑客,在多数情况下,内贼同样可怕。2014年1月,韩国KB国民卡、乐天卡与NH农协卡等三大信用卡公司,惊爆有史以来最大规模个资外泄事件,就连该国总统朴槿惠、联合国秘书长潘基文的个资也惨遭牵连,深究其事发缘由,乃在于这些信用卡公司联合委托韩国信用评价公司(KCB)负责开发一套系统,而一名参与其中的KCB技术人员监守自盗所致,因是出自委外厂商所为,并不算是外人,可被视为内贼作乱的经典案例。

当然,若干台湾企业之所以轻忽个资法,并不见得是对黑客或内贼的威胁浑然不觉,而是不认为个资法大刀真的会开铡;说到这里,不妨看看本土案例。回顾2013年期间,金管会一共对台湾金控及银行祭出27件裁罚,其中近五分之一与客户个人数据保护事项相关,例如某大银行,因办理网络银行业发生疏失,未能有效察觉外部人士浏览其内部目录网页,造成3.3万名客户个资外泄,因而被认定有未落实执行内控的缺失,故依违反银行法第45条之1第1项规定,以新台币400万元高额罚金伺候。

明眼人或许看得出,上述银行遭罚的法源为银行法,而非个资法,倘若不是金融业,可能就能置身事外,但这般认知可说大错特错,因为该银行受罚的行径,已同时触犯银行法与个资法,通常主管机关会倾向从不同法源当中,援引最为严苛的依据而「从重量刑」,裁罚400万元已高于个资法究责额度;而各行各业皆有对应之主管机关,一旦遭遇相同情境,极有可能比照办理,只会罚得更重而非更轻,企业不宜心存侥幸。

更何况,个资法的行政罚责事小,单笔个资赔偿金额介于500~20,000元,才算是大事,前述银行挨罚400万元,这是一码事,后续若遇受害客户集团求偿,继而遭法院判赔钜额款项,那是另一码事,两者并行不悖。由此可见,企业如果未善尽保管之责,因而衍生大规模个资外泄事故,那麽便是「吃不完兜着走」,可能有偌大灾难缠身;试想,假使一家中小企业如经查获泄露万笔个资,每笔赔判20,000元,即将面临高达2亿元的巨大赔款压力,事已至此,其营运基业恐一夕崩盘。

专家提醒,若以日本为例,其施行个资法的第三年起,团体诉讼才达到高峰,因此「不是不报、时候未到」,推论台湾与个资外泄相关之团体诉讼潮流,可能在2014~2015年开始盛行,企业必须抱持忧患意识,竭尽所能做好因应准备,勿恃敌之不来、恃吾有以待之!

锁定个资法12条 做好防御基本功

不可讳言,虽然个资法适用范围扩及各行各业,但部分产业基于营运属性使然,未必会碰触到大量客户个资,如同以OEM/ODM代工业务为主的高科技制造业,就是明显的例子,是否意谓此类企业可稍微松懈,无需绷得如此之紧?事实则不然!只因高科技多拥有关键技术之智财权,即便可援引新版营业秘密法,针对这些营业秘密施以保护,遏阻不宵员工之轻举妄动,但万一仍不幸发生营业秘密外泄情事,对于该企业仍属重伤害,面子与里子双输。

在面子部分,若企业被证实未尽良善保管责任,导致不宵员工有机可乘,犯事员工固然需面临严厉罚则,企业也将因「保管不力、引人犯罪」而遭究责,同样会被处以可观罚金;在里子部分,对于一般高科技制造业,IP智财权往往牵动庞大商业利益,营运绩效或沈或浮,有时就押宝在少数关键技术之上,如果因提前外泄而遭破局,恐怕就如同泄了气的皮球,从此一蹶不振。

问题来了,企业纵使深知个资机敏防护一事非同小可,也明知光靠现有网安配备不足以安枕无忧,但却不知怎麽做,才能负起应有的保管责任。对此专家建议,企业因应个资防护的基本功课,其实都列在个资法第12条,共计有11项要务,而在此之中,尤其以第2项的「界定个人数据之范围」、第4项的「事故之预防、通报及应变机制」、第8项的「设备安全管理」、第9项的「数据安全稽核机制」,以及第10项的「使用纪录、轨迹数据及证据保存」等五大环节最为重要,企业宜先认真思考与规划,以便将这5项任务做好。

在此借用曾多次出现于相关研讨会的三步骤攻坚策略,意即先扫出、后管控、再稽核,企业在制定个网安全政策、部署防护措施之前,必须先透过个资盘点程序,以便厘清所欲保护的个资机敏档案,究竟流落何方,并深入理解个别档案所对应的价值与风险何在,接着再将高风险档案收归集中管制,佐以适当解决方案,确保这些机敏信息绝无落地之虞。

至于因应业务执行所需,仍须交由同仁分散处理的机敏数据,亦有必要采取严格管制措施,一方面先设立数据外泄防护(DLP)特徵库,以正向或负向表列模式,优先对疑似外泄的行为加以拦阻,另一方面则建立定期扫描、追踪与稽核机制,详加留存来源(From)、谁(Who)、动作(What)、时间(When)及目的端(Where)等存取轨迹信息,以作为日后呈堂举证的依据。