2011年對於資訊安全領域來說,是不平靜的一年。當然,對於向來充滿挑戰與危機的資安界來說,從來都不會有真正的平靜。從年初至今許多重大資料外洩事件,都一再提醒所有企業和業界:一個全新的威脅時代,已然來到。
日本消費性電子產品大廠SONY年中爆發大規模用戶資料外洩事件,以及為了因應調查、提昇安全防護措施而中斷好幾個星期的線上服務事件,對許多人來說可能還記憶猶新;美國數位行銷服務供應商Epsilon的資料外洩事件,更讓重創這間每年代表2,500家公司發出400億封電子郵件的企業形象;還有一家知名資訊安全公司,也一度坦承遭到惡意攻擊,導致關鍵產品技術資訊外洩,危及到採用該產品的全球用戶,甚至還包括美國政府部門在內。
國際大規模資安事件發生同時,其實在身邊,各規模、形式的資料外洩、駭客攻擊事件從未停止。資料竊取幾乎已是詐騙集團最重要的前導作業,台灣層出不窮的詐騙電話便依賴大量外流的個資取信於民,受害者往往因詐騙人端出的事實資料落入歹徒陷阱。換言之,網路犯罪已和傳統犯罪緊密結合,企業或組織若願意聘請保全維護實體環境的安全,更不應忽略虛擬環境的攻擊,伴隨而來的財物損害可能更大。
個資法上路日期不遠
事實上,當前企業組織面對的資訊安全挑戰,的確遠較過去更為複雜,攻擊者也因目的與技術能力各異,而有完全不同的攻擊行為。由於駭客工具的氾濫,一般民眾容易在網路上購買或免費下載現成的攻擊工具,自行發動攻擊;此外,專業組織化,甚至可能有來自政府支援的攻擊「團隊」透過精密研發的攻擊手法與策略,有計劃針對特定對象蓄意滲透,以取得他方的情報、商業機密等。
威脅不僅來自惡意攻擊者,社會對企業組織提昇資安防護的期待,本身也可能對企業帶來另一程度的壓力。經立法院三讀通過逾一年的新版個人資料保護法施行細則,也終於在10月27日公布草案,換言之,新版個資法正式上路的日期已指日可待。
企業面對如此複雜的外在環境,還得承擔來自政府法規的要求與罰則,一方面嚴防企業營運與資訊安全遭受威脅,一方面還得擔憂一旦資料外洩,可能面臨的形式責任或高額罰款風險。
從資安防護到風險管理
顯然地,過去常見應用於資訊安全的「防護」概念,在面對當前如此複雜的資安環境,明顯已被推翻,因為對手從哪裡來、怎麼來、衝著什麼而來,已很難事前精密確認。防護網的架設結構、架設點不易有效定義,更遑論若架構不當,還可能面臨後續的處罰賠償責任。
面對如此複雜的威脅環境,企業組織因應的關鍵方式,應是先反求諸己,首要深入了解自身狀況,才可能應對瞬息萬變的安全威脅,把資訊安全真正融入組織的營運與業務流程當中,並且將其視為企業整體風險管理的一環,以管理取代防堵、以清楚的政策因應瞬息萬變的環境,才是根本之道。
企業組織正可利用個資法即將上路的機會,徹底體檢自身的資安曝險程度;資訊安全其實是隱私保護的基礎,因此企業不論是面對新的資安威脅或個資法的要求,仍需回歸本身的風險管理與資安政策。
政策落實決定勝敗
舉例來說,企業本身的營運資料生命週期管理上,有沒有做到基本的層級定義,並因應這些定義的層級進行人員存取、授權控管?個人資料保護的管理其實也十分相似,企業一定得先有清楚的個人隱私資料定義,區分隱私資料與非隱私資料。舉例而言,單純洩漏電話號碼其實並非個人隱私,但若搭配可辨識個人身分的資訊,如姓名,便算觸犯法規。在有清楚定義的前提下,便能擬訂管理資料的政策,搭配確實的政策落實,才有可能進一步達到良好管理-既能善用,又不擔心外流。
企業組織有必要徹底進行內部資安與隱私保護體檢,了解自身營運模式,以及流程上的資安與隱私保護弱點,進而對症下藥,制定符合組織所需的管理政策。然而,不論是資安管理或隱私管理,政策代表的是原則與大方向,執行面的落實,往往才是決定成效良窳的關鍵。而執行成效好壞,員工的認知和投入,往往是勝敗決定的重點。因此積極把資安與隱私政策融入員工訓練、日常作業流程,其實非常重要;有典章制度卻沒有落實,或是缺乏持續性考核,就無法真正因應來自四面發方的資安威脅與大意漏洞。
檢視近來許多令人瞠目結舌的資料外洩事件,往往可發現,關鍵員工某些大意違反資安政策的行為,是造成後續一連串攻擊發生的起點。舉例來說,不應點擊可疑網址、不應開啟來路不明的郵件,早已是許多企業最基本的資安行為管理規範環節之一,但在執行面的真正落實程度,未被列為追蹤考核項目,如此一來,難以讓員工有足夠的動機配合相關內部政策。
外在環境瞬息萬變 基本功更形重要
新興技術演進速度飛快,攻擊手法也隨之推陳出新,但對企業組織而言,營運資料、客戶資料、內部計畫等營業機密的保護,其實早從中國古代的藏頭詩、羅馬帝國加密信件的發明起始,千古未變的原則。
徹底檢驗內部流程的曝險程度,同時釐清本身的目的、需求、風險承擔能力、可投資的成本規模後,再進一步擬定符合企業組織特性的資安與隱私保護政策,加上深度的員工教育,並採用科技輔助落實政策執行,儘管是老生常談,卻也是不可迴避,既治標、又治本的基本功。
經濟部因應全球趨勢,已開始在台灣推動資料隱私保護標章(Data Privacy Protection Mark,DP Mark),以爭取員工、合作夥伴與客戶信任,包括德國、日本等先進國家,也開始加強非法規面的資料安全鼓勵行動。在可預見的未來,資訊與隱私安全將不再僅是企業被迫配合的法規要求,更將是有助提高企業價值的加分項目,台灣的企業組織不妨利用個資法即將上路的良機,徹底進行資安與隱私體檢,進而加強自身管理,把法規遵循的壓力,視為自我提昇的契機,踏上更高層次的階梯。