隨著個人資料保護法施行細則訂定的腳步日近,企業也應調整相關措施因應未來需求,以免措手不及。日誌管理可以先從業務相關或核心應用服務著手,像是電子商務的線上交易日誌、醫療產業的醫療資訊系統日誌或是服務產業的客服系統日誌,都可以先行投入,因為未來個資新法施行後,只要是與個資蒐集、處理、利用等相關系統都會是日誌管理的重點。
個人資料保護法施行細則正如火如荼進行制定,法務部預計六月將個人資料保護法施行細則送交行政院審查後,於十一月底正式公布。
修訂後的新版個人資料保護法(以下簡稱個資新法)象徵政府推動資訊安全的決心,過去,許多訴訟案件都是由當事人舉證,但個資新法卻是必須由企業舉證已善盡資料保護的責任,這兩種迥然不同角色,企業未來勢必得先做好自我保護,這其中日誌的歸檔與管理就相當重要,甚至很有可能成為日後舉證的重要依據。
個資新法對企業的衝擊
系統日誌資料為何如此重要?這得先從個資新法對企業造成的衝擊談起。當然,日誌的存在原本就對企業進一步分析IT問題出現原因有所幫助,例如流量異常是因為網路受到駭客攻擊,還是因為個人電腦被植入木馬,而導致的異常封包傳送,都可以透過系統日誌來加以分析判斷,但同時,個資新法也使得日誌的重要度提升。
這是因為個資新法擴大被制約的對象,企業必須承擔起損害賠償責任。個資新法在第一章總則第4條明定,「受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關」。相較於舊法中,「受公務機關或非公務機關委託處理資料之團體或個人,於本法適用範圍內,其處理資料之人,視同委託機關之人」有很大的不同。
換言之,假設過去企業將網站經營發包給委外公司負責,在個資新法中保護個人資料責任的歸屬將被歸究於企業本身,而不是委外廠商,除非在雙方簽定的合約過程中,明定雙方責任的範圍,否則當個人資料遭到不法蒐集、處理、利用或侵害到當事人權利時,就必須負損害賠償責任。而對於同一原因事實造成多數當事人權利受侵害之事件,損害賠償的總額,最高可以到新臺幣二億元,除非能證明無故意或過失。
法律之上講求證據,企業為了證明無故意或過失責任,便需要具有證據力以及證明力的資料來證明,這時系統的日誌記錄便是一項有力的佐證工具,當然,能夠成為呈堂證供必須具備幾項條件,包括原始資料的完整性、有無適當的保存方法、是否修改過等等,唯有確認日誌在安全的環境下保持原貌,並且受到良好的保存,才能成為足以被採信的證據。
IT滿手Log卻無用武之地
系統日誌存在的目的是為了將系統的所有過程都完整地記錄下來,因此日誌普遍存在於各式各樣的IT基礎設備中,防火牆、入侵偵測系統、路由器、閘道器、資料庫、應用伺服器……,幾乎都有日誌設計,以便協助得以分析、除錯,找出問題根源。然而,目前企業對於日誌管理普遍都有不足之處。
目前擔任資安顧問與資安講師、同時也是網管人長期專欄作家的花俊傑指出,就他的觀察,IT人員對Log的處理態度,影響了企業能否以日誌作為佐證的依據,「從態度的層面來區分,日誌管理不完善的IT人大致可以分為四種型態,一是完全不清楚系統或設備到底有沒有日誌功能,因此沒有特別留意,或者是明明有留意,但因為不想影響效能,因而不想啟動。第二種是已知日誌會散布在各個系統與設備上,但只採用預設機制,當問題發生才進入個別系統或設備查詢。」
他繼續說明,第三種是已知系統和設備有日誌功能,也建立了簡單的Log Server(如syslog等)進行蒐集,但因採用明碼傳輸,並缺少安全的控管機制,也沒有適當的工具可快速進行匯整、調閱和分析。第四種是已添購了日誌管理產品或設備,利用它來蒐集與儲存Log,但是在管理方面仍缺乏相關政策和作業辦法,例如該蒐集哪些重要的Log、如何進行分析、儲存的週期以及是否有安全控管機制等等。
從上述的分析,讀者可以很快地感受到,過去企業對於系統日誌管理的欠缺其實存在於三種層面,花俊傑認為,首先是「認知」問題:IT人員缺少對於日誌管理的概念,因此不知道有哪些重要的Log,也不知該如何著手。其次是「工具」層面:雖然有進行集中保存,但因缺乏適當的管理工具,讓日誌無法進一步作為IT營運、資安防護的參考。最後是「管理政策」:雖然已添購設備進行日誌管理,但並沒有制定管理政策和作業辦法,相關的日誌可能保存得不夠完整,也無法作為法規因應證明。
做好日誌管理 從核心逐步擴大到IT營運資訊匯整
也因此,企業著手改善日誌管理的作為,也應從這三點著手,像是加強人員對於日誌管理的認知與安全概念,以區分日誌的重要性,並且提升能力來進行日誌的蒐集、分析;從內部明定日誌管理辦法,界定日誌需要蒐集的範圍、儲存方式、存取權限、安全機制等等;另外,企業也應該提供給IT人員適當的工具,以協助進行日誌保存、分析調閱或是相關報表的產出。
花俊傑提到,所謂適當的工具,必須能夠支援廣泛的系統、網路、資安等設備的格式,而且在保留原始日誌資訊的基本功能之外,最好還能有正規化(Normalize)日誌的功能,若是可以進一步支援資安事件管理(SIEM)或資安營運中心(SOC)需要,對於企業將會有相當大的幫助。「當然,調閱能力是不能少的,必須能迅速進行日誌搜尋、報表分析以符合法規與稽核上的要求,而安全的機制也不能忽視,要有良好的存取控制或儲存加密技術,才能避免日誌受到不當的竄改。」
隨著個人資料保護法施行細則訂定的腳步日近,企業也應改變觀望態度,逐漸調整相關措施因應未來需求,以免措手不及。花俊傑建議,企業日誌管理可以先從業務相關或核心應用服務著手,像是電子商務的線上交易日誌、醫療產業的醫療資訊系統日誌或是服務產業的客服系統日誌,都可以先行投入,因為未來個資新法施行後,只要是與個資蒐集、處理、利用等相關系統都會是日誌管理的重點,因此企業不妨先從重要的應用服務或業務著手,再逐步跨大到IT營運資訊的匯整,唯有先建立起好的管理機制,才能在必要時提供做為證據的來源。