法規遵循 雲端運算

法律問題與電子證據蒐集

2012-04-23
上一次談到了雲端運算與組織的經營治理,也就是高階管理階層對於雲端安全問題應有的認知,以及因應雲端部署和第三方的管理建議,本期將探討和雲端運算有關的法律問題與證據蒐集,以及用戶和服務供應商如何因應安全事件的調查。
回應法律調查和法院傳票的過程

以發生資料外洩事件為例,調查單位除了瞭解用戶所存放的資料類型之外,也可能會調查是否和服務供應商的雲端環境與應用程式有關,因此可能會直接傳喚服務供應商提供所需的資訊,這部分有可能不需要用戶的同意就可進行,因此用戶和服務供應商雙方對於法律調查的流程需要有事先的認知與共識。

另外,用戶很可能希望供應商在接到需要配合法律調查的要求時,可以盡快通知可能受到影響的用戶,並且提出解釋與說明,因此建議將通知流程也納入在服務等級協議之中。

數位證據的發現與搜索

如果組織使用的是完全自行管理的傳統資訊服務,一旦發生問題時,就可以很快地進行調查並且搜索保存可能的證據。但是,如果採用的是委外的雲端服務,用戶不見得有權限使用搜尋工具來取得所需的證據,若是需要服務供應商提供的話,就必須對進行的方式流程以及可能產生的費用進行協商。

電子記錄與數位證據的保護

對雲端服務供應商而言,相關電子記錄依據雲端的服務與部署模式可能會不同,但原則上仍會依照傳統的作法,像是保留相關日誌(log)的方式來進行。

用戶需要評估對於這些電子記錄或未來可能成為證據的保護作法,是否足以符合行業法規和法律要求,尤其是電子記錄容易受到損毀、竄改與消除的特性,如何確保電子記錄可明確反映事件發生的原貌,以及在蒐集的過程中,是否依照標準程序來進行採集,並且可持續維持正確與完整,確保其可被法庭所採納等,這些針對電子記錄的保護機制與調閱作法,可能也是一開始在選擇服務供應商時就要評估的重點。

電子記錄的費用與保存

鑑於用戶可能會要求服務供應商保護相關的電子記錄,因此定義所保存的資料範圍、期限及大量資料保存所產生的費用,就是需要思考的問題。如果無法達到用戶在服務協議中所要求的水準,那麼是否能夠提供其他的機制,像是讓用戶可自行下載保存電子記錄,可自行保管以作為事件調查與訴訟的參考。

電子記錄的蒐集與鑑識

雲端服務供應商可能會允許用戶自行蒐集其所需的必要記錄,這些也會明訂在服務等級協議之中,但由於提供給大量的用戶使用,因此就要考量相關記錄的存取方式與頻寬問題。例如供應商可以同意讓用戶存取過去三年的交易記錄,但是將會限制只能單次下載最近二個星期的資料。至於若是用戶為了採集證據,想要使用映像(Bit by Bit)數位鑑識作法,可能不見得會被供應商同意,因為它需要連結到特定的硬體設備,礙於雲端服務的多租戶特性,這種作法是否會對其他用戶造成衝擊,也都需要事先的溝通與協調。

及早因應法規的遵循要求

由於法規遵循的要求日漸受到重視,也為了因應新型態的雲端服務,許多法律與技術專家都提出了不同的因應作法,尤其針對採取由第三方提供的委外服務,在美國和歐盟的相關法規,都建議將法規遵循的要求與責任,延伸至服務供應商,並且要求在合約之中加以規範和限制。

但是,由於牽涉到儲存在雲端的資料會跨越國界的限制,以及各國對於隱私保障的法律要求有所不同,再加上雲端數位證據的搜索採證仍顯得困難重重,所以有關雲端服務和法律的問題仍會不斷地被提出討論,無論如何,這是一個無法避免的議題,建議雲端服務的供應商和用戶都要審慎面對才行。

參考資料
CSA:Security Guidance for Critical Areas of Focus in Cloud Computin


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!