個資法專家/電腦被駭個資外泄 防護爲首要關鍵

文/個資專家

法務部居然遭到中共網軍大舉入侵,中國駭客得到一審辦案系統資料,包括李宗瑞、林益世案的證人身分,甚至陳前總統健康檢查結果,都可能曝光,不過資訊出面澄清,外流的「只是」檢察事務官和資訊處同事的個資。初步清查,發現外泄資料不如想像中嚴重。但電腦被中國駭客侵入畢竟是事實,資訊處長坦承技不如人,懷疑中共網軍冒用長官名義發信,纔會讓資訊處人員失去提防,誤開信件植入木馬程式,繼新北市府公務電腦被測試攻破之後,再度發生政府資安危機。諷刺的是,法務部還特地製作影片宣導個資安全的重要性,自我把關卻破了大漏洞,資訊處有過半人員的電腦被駭客入侵,卻渾然不覺

法務部竟然會爆發中國駭客入侵?其實一點都不奇怪。依我國個資法之「公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或泄漏」,這是強制性義務,但許多公務機關,卻還是不瞭解何謂「指定專人辦理個資安全維護事項」,企劃室丟給總務處,總務處踢給資訊處,資訊處問文書科,文書科說應該找人事室,依舊互相踢皮球,沒有人知道誰在何時動過這些資料,掩蓋個資外泄的事實。對民間單位,個資法也有類似的規定,「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或泄漏」;而如果不依這條的規定採行適當安全措施者,可處新臺幣20,000元以上200,000元以下罰鍰。就這樣的事情,單位的長官,能不能只是口頭交代底下的員工「把個資管好、不管在什麼情形下都不準外流」?試問哪個員工(惡意竊取的在此不論)會想要讓自己手上的個資外流?又或者是被駭客偷走?那麼很自然的,大家就會問「有沒有辦法在電腦被竊或駭客入侵的情形下,防止個資外泄」?

市面上究竟有沒有合適的資安解決方案,讓機關的電腦就算被竊被駭,裡面的資料外人也拿不走、讀不到?臺灣資安界,推動文件保護不遺餘力的優碩科技總經理黃祖仁表示當然有!這種東西,有的廠商管它叫DRM,有的叫DLP。DRM是Digital Rights Management(數位權利管理)、DLP則是Data Loss Prevention(資料外泄防制)。實際的作法各有巧妙,但它只須具備一項功能,就能讓個資外泄的風險大幅降低:「把電腦裡的個資加密、沒有金鑰就解不開」!就以上述法務部的例子來觀察,倘若那臺被偷走的筆電,裡面的個資全都放在它硬碟的特定資料夾(比方說,D:DataPersonal Information)內、而該資料夾原本就被設定自動以DRM加密,那麼,除非小偷還拿到了擁有閱覽那些個資文件權限的金鑰(這種金鑰多半以複雜的演算法去產生,一般軟體試帳密的作法幾乎不可能打得開),否則就算破解了Windows的登入(大部分的使用者都是以簡單的密碼作設定,破解難度極低),這些含個資的文件仍然是受到充分保護的。

相關資料來源:優碩資訊科技http://www.trustview.com.tw/tw/default.aspx