防範外部駭客入侵與內部員工洩密是企業資安維護的兩個主要的挑戰。近年來實務上頻傳駭客攻擊金融機構網站及高科技公司員工竊取營業秘密等事件,更引起企業對資安維護的重視,這也成為資安業者的商機。
企業資安維護面臨兩個挑戰:一是來自外部的駭客入侵,以各種方式攻擊企業的網站、電郵、雲端等資訊系統;二是源自內部的員工洩密,將企業的營業秘密外洩,甚至離職後帶槍投靠競爭對手。近年來,實務上頻傳駭客攻擊金融機構網站及高科技公司員工竊取營業秘密等事件,更引起企業對資安維護的重視,這也成為資安業者的商機。
外部的駭客入侵
隨著金融科技(Fintech)的發展,當金融機構推動數位化金融措施的同時,其實也增加駭客攻擊的目標,必須妥善因應與防範任何資安漏洞所引發的被駭風險。姑且以母親節檔期熱銷的掃地機器人做比喻,其固然可有效率地促進居家環境的清潔,但如遭駭客入侵,到處遊走掃地兼掃「瞄」的機器人,反可讓外賊一覽無遺並安排超完美的行竊計畫,而手機裡的用來清理儲存空間的APP,也會有類似的資安疑慮。
今年(2017)年初傳出多家證券商陸續被駭,遭到分散式的阻斷服務攻擊(DDoS),導致對外網頁頻寬滿載,進入官方網頁速度變慢,阻礙證券投資人網站下單。這是繼去年第一銀行ATM被駭遭盜領8千多萬的事件發生後,又一波大規模的駭客攻擊事件。面對DDoS針對開放式網路進行的流量攻擊,金融機構可尋求網路服務供應商的協助,以增加頻寬並進行流量清洗。金管會更促請金融業者加強資訊安全防護措施,包括:
1.建立資通安全檢查機制:請金融機構建立資通安全之內部控制及稽核標準或標準作業規範,強化網路資安防護與定期演練,並落實執行。
2.設置金融業者資安通報平臺:為掌握業者資安監控與應變機制,業建立金融業者資安通報平臺。必要時由金管會協助金融業者因應處置,或轉請國家資通安全會報技服中心提供協助。
3.建立資安資訊分享機制:金管會將建置金融機構資安資訊分享與分析中心(FISAC),提供金融業者資安預警訊息,適時提醒業者注意並採取防護措施。
4.請金融業者隨時注意對外網路資訊安全之維護:如發現有受攻擊情事,應洽電信廠商就DDoS攻擊進行流量清洗、阻擋攻擊者之IP等。
5.督導金融業之監控網路系統運作情形:如有系統異常無法運作情事,應即時公告並擬具因應方案,並提升資安人才,以確保客戶及投資人權益。
此外,金管會與銀行業者更達成資安維護共識,擬採循序漸進原則,設置資安專責單位及相當層級之專責主管,且配置適足人力及資源,以有效執行銀行之資安計畫及資安防護等工作,並於未來逐步將資安專責單位提升至獨立專責部門,以維持其執行資安業務之獨立性。另為因應金融科技之發展,請銀行公會持續配合資安現況適時修正相關資安自律規範,以供金融機構遵循。
前述關於金融機構對資安維護的因應方案,也可作為其他產業的參考,諸如建構資安維護計畫與執行措施、危安事件的通報與緊急應變處理、以及設置資安長或專職人員以落實資安的維護等。行政院最近更推出「資通安全管理法」草案,擬強化公務機關與民間機構的資安維護義務,特別是關鍵基礎設施(指能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方機關、高科技園區等實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國民生活、經濟活動、公眾安全或國家安全有重大影響之虞)更是資安維護的重點。參酌近來傳出與北韓有關的駭客組織攻擊了許多國家的銀行,竊取到的金錢可能用來發展核武,可見資安維護對企業與國家安全均有重大意義。
內部的員工洩密
企業防範外賊之外,也要注意內鬼,以免營業秘密外洩。今年5月初,新竹地檢署起訴一名台積電離職工程師,因其涉嫌於任職期間非法重製有關台積電28奈米製程的重要文件,並已接受上海華力微電子公司的工作要約準備任職,意圖在大陸地區使用台積電的營業秘密,觸犯營業秘密法第13條之2第1項意圖在大陸地區非法使用營業秘密罪嫌。今年4月間也傳出快閃記憶體龍頭業者群聯電子,揪出某工程師涉嫌用手機拍攝晶片的電路設計圖。更受到社會矚目的案件是甫於去年底被記憶體大廠美光併購而納入旗下的華亞科,於今年過年後竟傳出上百名工程師集體跳槽到大陸的紫光集團,涉嫌攜帶華亞科的營業秘密帶槍投靠競爭對手。
依營業秘密法第2條的規定,營業秘密範圍很廣,包括方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊,但須具備三項要件:1.秘密性(即非一般涉及該類資訊之人所知);2.經濟性(因其秘密性而具有實際或潛在之經濟價值);3.合理保密措施(所有人已採取合理之保密措施)。故企業對於重要資訊需採取分級管理,標示機密等級並建制完善之資安管理機制。另外對於不當取得、使用及洩漏營業秘密者,亦應建構周延的監控機制,以利於日後舉證違法情事之用。
值得注意的是2013年1月30日公佈施行新版的營業秘密法,列舉各種侵害營業秘密的犯罪類型並增訂刑事責任,如在我國境內侵害營業秘密者,最重可處5年有期徒刑;在境外(如大陸地區)侵害營業秘密者,最重可處10年有期徒刑,皆得被科處高額罰金,以強化營業秘密的保護。此外,實務上常見企業以競業禁止約款限制員工於離職後一定期間跳槽至競爭對手,主要就是為了保護企業的營業秘密,以提供額外的救濟管道。此係因為離職員工於競爭對手工作時,難免會利用或洩漏其已知悉或取得原雇主的營業秘密,但原雇主對於離職員工是否違反保密合約?是否侵害營業秘密?在舉證上卻會面臨現實的困難,故有特別約定競業禁止約款的必要。
企業內部資安維護能力有所不足者,尚須尋求外部專業廠商的協助。資安維護的商機也應運而生,在這個最好也是最壞的時代,資訊安全是危機也是商機。
<本文作者:陳佑寰,目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>