資料外洩 磁帶銷毀 資料銷毀 人為疏失 怡敏信 資安

第三方磁帶銷毀 強調公信力

2012-11-16
長期以來,磁帶便具有低單位容量成本以及容易搬移的優勢,因此不少企業透過磁帶來進行離線備份或歸檔的作業,但幾年之後,企業累積磁帶量愈來愈多,不少因為年限已到或是報廢的磁帶需要銷毀,然而現今企業執行磁帶銷毀的過程卻也存在許多問題。
根據賽門鐵克最新一份網路安全報告調查指出,駭客攻擊、內部人員疏失和資料遺失是企業資料外洩的主要原因,而其中值得注意的是,內部人員疏失和資料遺失等內部人為因素與駭客攻擊等外部攻擊的比例相當。

這份報告分析了自2012年1月到8月期間的資料外洩案件,而調查也顯示,駭客攻擊日益猖獗,因為駭客攻擊而造成資料外洩的比例提升到了四成,但在此同時,因為內部人為疏失而造成的資料外洩案件也高達四成八。這項數據也突顯了資訊安全防護不再只是對外的防範,更應成為全面性的管理作為。

怡敏信總經理林嘉祥指出,企業或組織原本就有義務負起保護客戶或員工個人資料的責任,在個資新法施行之後,這項責任不變,但同時新增了法律上的強制性與損害賠償舉證責任,也因此,企業應該審視目前資安防護的機制,特別是以往較常忽視的資料銷毀也應該有更具信任的作為。

消磁才能杜絕風險

長期以來,磁帶便具有低單位容量成本以及容易搬移的優勢,因此不少企業透過磁帶來進行離線備份或歸檔的作業,但幾年之後,企業累積磁帶量愈來愈多,不少因為年限已到或是報廢的磁帶需要銷毀,然而現今企業執行磁帶銷毀的過程中也存在許多問題。

▲怡敏信總經理林嘉祥指出,企業將磁帶銷毀委由第三方具有公信力的業者來服務,將可以取得雙重保障。
首先是觀念仍停留在舊思維。不少企業以為只要格式化就足以確認資料不外洩,但IT技術與日俱進,許多資料都可以被還原。他舉例,以加密的隨身碟來說,只要輸入三次帳密錯誤,隨身碟立刻被鎖住,然而有心人士根本不需要測試帳密,隨便鍵入三次被鎖住之後,透過軟體便能取得資料。「在李宗瑞事件中,不少硬碟已經格式化了,但警方仍取得了檔案,就是仰賴還原軟體的功能,同理磁帶也是如此,而且就算企業把磁帶拉出來剪斷,還是能讀出資料,因此針對磁帶資料銷毀,企業應該慎選方式來杜絕風險。」

林嘉祥解釋,隨著磁帶的儲存密度愈來愈高,單位面積下的資料愈來愈多,在IT技術演進下,即使是一小段磁帶片段都可能有數MB的資料存在,因此,最好的方式是透過消磁的作法,以超出磁帶原本磁力強度的磁性,讓磁區呈現完全空白,無法再次進行讀寫的動作。

銷毀服務提供公信力

除了思維之外,流程的公信力也是一大問題。不少企業自行銷毀磁帶,除了技術面無法確認已銷毀的磁帶是否真的復原之外,由執行人員自行驗證成果的信任度,以及欠缺稽核機制來確保流程的公信力也常是風險所在。「雖然,企業主是以信任的原則下來看待資料銷毀的作業,但是管理階層往往也不熟悉技術,當執行人員展示無法讀取磁帶時,管理階層往往無法在第一時間判斷磁帶上的資料已確實銷毀了?還是執行人員的刻意作為而讀不出來?另外不少企業設計的銷毀流程也往往少了稽核的機制,萬一遇到舉證需求時,企業也會面臨不少質疑。」林嘉祥說。


▲怡敏信已設計出一套完善的銷毀流桯,並且在執行過程中,全程都能錄影、拍照,甚至協同稽核人員參與,而事後也可讓使用單位將已消磁的磁帶抽樣,帶回資訊室驗證,並且提供銷毀證明書。(圖片來源:怡敏信官網)

針對這些需求,怡敏信很早便投入磁帶銷毀服務,「其實個資法還沒確立之前,一些大型企業或是外商機構就已經具備先進國家的觀念,因此委由怡敏信來提供磁帶銷毀服務,這是因為他們深知資訊安全的重要性,不管是個人資料還是企業資料,如果流入競爭對手或不當人員的手中將影響公司營運安全。」

他同時表示,企業將磁帶銷毀委由第三方具有公信力的業者來服務,將可以取得雙重保障。首先企業得以採用消磁技術來確保資料已經銷毀無法復原,其次業者已設計出一套完善的銷毀流桯,並且在執行過程中,全程都能錄影、拍照,甚至協同稽核人員參與,而事後也可讓使用單位將已消磁的磁帶抽樣,帶回資訊室驗證,並且提供銷毀證明書,這些舉措都能為企業提供另一項保障。

「怡敏信身為全球儲存媒體的研發、製造與銷售業者,長期以來都朝著守護重要數位資產而努力,磁帶是怡敏信企業端的主力產品之一,不論磁帶經過幾個世代交替,怡敏信都還保有完全相容的磁帶機,因此企業在驗證時,無須擔心磁帶過於老舊無法驗證的問題。」林嘉祥強調,當一家業者長期關注在儲存媒體的技術時,對企業客戶來說就是一項保障,否則任何一家公司買上一台消磁機都能提供資料銷毀服務,萬一效果不確實而發生商業行為的災難,被罰的金額相當可觀。

磁帶資料安全須全面

隨著個資新法施行,愈來愈多的企業開始重視資料銷毀的重要性,但一如前文提到,資訊安全防護是一項全面性的管理,包括資安政策教育也要面面俱到。林嘉祥分析,台灣企業長期以來都依靠成本的掌控來提升競爭力,但是這並不全然是好事,以磁帶為例,台灣企業多數會重複使用舊磁帶,但這與國外是迥然不同的作法,在國外,磁帶的使用只有一次,一直存放到銷毀,反觀國內,將舊磁帶重複使用雖然可以節省成本,但同時也產生資料外洩的疑慮。

「當這些舊磁帶被重新使用時,到底有多少舊資料被閱讀過?這些資料機密嗎?儲存著新資料的舊磁帶重要嗎?這些都存在問號。」他重申,個資保全必須環環兼顧,不只是後端的銷毀作業,前端的掌控也是企業必須留意的地方,否則顧此失彼,企業資料外洩的風險也就無法有效掌控。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!