個資法專家/維基解密風暴 個資外泄如何擋
文/個資法專家 之前的維基風暴讓臺灣政壇上鬧得沸沸揚揚,也一併佔據了許多新聞版面,爲了讓大家更加了解維基解密與企業機密資料外泄的關係,就不得不先從維基解密的組織及資料來源方式做了解。維基解密(WikiLeaks) 是一個國際性非營利的媒體組織,專門公開來自匿名來源和網路泄露的文檔。網站成立於2006年12月,其資料來源爲各國匿名使用者送出的文檔及電文,以原始的、未經編輯的形式把那些可信的材料貼出來,並附上評論。就資訊安全的角度來解析這事件,其實也不外乎是一則又一則資料外泄事件,這裡的資料外泄指得是美國政府重要情資遭外泄後,被刊載出來,其相關泄密的內容造成他國的新聞輿論動盪;而從臺灣目前發生維基解密事件之資料來源形式,可以從中發現大多數的資料爲各國使館之間通報的電文,被有心人事外泄,外泄資料中以完整轉載形式做散佈,因此可推斷資料外泄的方式不外乎爲,一是合法權限使用者從事非法的外泄行爲,二是在資料交換傳遞之間遭到外泄。
合法權限使用者從事非法的外泄行爲根據2006 CSI資安事件調查報告指出,當大多數的企業及政府機構致力於外部資訊安全的防護工作,卻有70%的資安威脅是來自企業內部人員,只有30%的資安威脅纔是來自外部駭客或病毒的入侵。另外一份英國ICM的研究報告,說明白領工作者平均每週要處理 11份企業經營機密資料,有52%的員工曾在離職時將機密資料帶走。企業資安目前最重要的課題,不只是在於防堵機密外泄,而是在於如何能有效防堵因爲人的管理因素,所產生的機密外泄問題?
根據Forrester Research 報告,指出過去舊世代的防止資料外泄防護機制主要以硬體架構方式( Infrastructure centric ) ,只在電腦周邊及網路的管道防堵,只能防止非法使用者,無法有效防止合法使用者從事非法泄密行爲,例如對合法使用者開放列印功能,所以機密及非機密文檔都可以列印,無法可管,因此舊世代 DLP 的防護機制是明顯不足的。因此新世代的防護機制是必需要作到保護原始檔案本身( Data centric ),環顧目前多種防止資料外泄 DLP( Data Leak Prevention )技術,只有加密技術搭配DRM(Digital Rights Management)權限安控才能真正做到直接保護檔案本身的解決方案,符合新世代防止資料外泄防護機制的功能,這樣才能正本清源解決資料外泄的問題。
資料交換傳遞之間遭到外泄現今的企業進行機密資料交換及傳遞的過程中都十分擔心資料被不當竊取,但市場上多數的機密文件安控系統所提供的保護方式,不外乎是將檔案轉檔成影像方式並加密後傳遞,或是以遠端連線取得授權後開啓;但上述這兩種方式常會造成企業用戶交換傳遞使用上的不方便,因爲轉成影像檔會造成使用者無法二次編輯,而連線開啓機密文件則會在特殊場所無法取得連線狀態開啓檔案。所以導致企業在只有一好沒有二好的情況下,將大多數外傳的文件不進行保護,將機密文件暴露在無安全機制下進行交換傳遞。有藉於企業對安全及彈性兼顧的使用需求下,對外機密文件在無須網路連線下,享有加倍防護功能。管理者可分別依據外部使用者帳號與硬體資訊做權限設定,針對機密文件做修改、複製、日期、時段、閱讀次數、列印次數權限設定及具備防制熒幕截圖功能。並且可以透過延展期限功能來延長使用者對文件的使用期限,達成內外兼具的保護效果。