電腦被竊、個資外洩!作好防護,是不能也,或不為也?
2012.12.16
是不是很難想像,連NASA(美國航太總署)這種機關,都會爆發如此白痴的事件?不過一台員工的筆電被偷,就有上萬筆個資、連同其他NASA之重要機密外洩?
其實一點都不奇怪。依我國個資法第18條「公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏」,這明明就是強制性義務,但在前一陣子我們試探性地詢問了許多公務機關,請教他們是否已經依法「指定專人辦理個資安全維護事項」,居然赫然發現在許多機關裡,根本沒人知道我們問的問題是什麼!企劃室丟給總務處,總務處踢給資訊處,資訊處叫我們問文書科,文書科說應該找人事室…(政府單位一推256的功力可見一般,反正就算有個資外洩,先想辦法掩蓋;掩蓋不了,縱然依個資法第28條去賠錢也輪不到自己掏腰包…)
對民間單位,個資法也有類似的規定,第27條第1項「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏」;而如果不依這條的規定採行適當安全措施者,依第48條政府可以命限期改正,屆期未改正者,處新臺幣20,000元以上200,000元以下罰鍰。
就這樣的事情,單位的長官,能不能只是口頭交代底下的員工「把個資管好、不管在什麼情形下都不准外流」?想也知道,這樣講了不等於沒講。哪個員工(惡意竊取的在此不論)會想要讓自己手上的個資外流?這種慘案發生,9成9都是不小心所導致的;那麼很自然的,大家就會問「有沒有辦法在電腦被竊的這種情形下,防止個資外洩」?
畢竟,這種事情一旦發生,光看個資法第28條第1項「公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限」;同條第3項「…如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣500元以上20,000元以下計算」;第29條第1項「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限」,而同條第2項則規定一體適用第28條之法院核定賠償標準…也知道事態嚴重。
那麼,市面上究竟有沒有合適的資安解決方案,讓機關的電腦就算被竊,裡面的資料外人也拿不走、讀不到?當然有。這種東西,有的廠商管它叫DRM,有的叫DLP。DRM是Digital Rights Management(數位權利管理)、DLP則是Data Loss Prevention(資料外洩防制)。實際的作法各有巧妙,但它只須具備一項功能,就能讓個資外洩的風險大幅降低:「把電腦裡的個資加密、沒有金鑰就解不開」!就以NASA的例子來觀察,倘若那台被偷走的筆電,裡面的個資全都放在它硬碟的特定資料夾(比方說,D:DataPersonal Information)內、而該資料夾原本就被設定自動以DRM加密,那麼,除非小偷還拿到了擁有閱覽那些個資文件權限的金鑰(這種金鑰多半以複雜的演算法去產生,一般軟體試帳密的作法幾乎不可能打得開),否則就算破解了Windows的登入(大部分的使用者都是以簡單的密碼作設定,破解難度極低),這些含個資的文件仍然是受到充分保護的。
當然,只要講到IT解決方案,各家廠商向無例外,永遠都是老王賣瓜、自賣自誇。各個機關仍應就其預算以及運用上的廣度和深度,去仔細評估,挑出性價比、以及操作容易度最高的solution,再進行導入;我們日後將再一一深度評析每家解決方案的作法、價格、以及優缺點。
但不論是哪家的產品,只要考慮導入,就得先花力氣再花銀子,所以不導入行不行?
(如果政府關於個資法只是玩假的喊喊罷了,您不導入,當然行…………)
NASA又傳員工筆電遭竊 至少萬筆個資外洩
資安人【2012-11-26】
http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7226
日前美國NASA(美國國家航空暨太空總署)因為一名員工未加密的筆電遭竊,導致至少一萬筆個資外洩,為了避免類似情況再度發生,NASA下令內部所有筆電都必須加密,否則不准帶出NASA。
該起事件發生於10/31,NASA某位員工將筆電放在車內,雖然車子上了鎖,但依舊被偷走,該筆電硬碟中包含NASA員工、承包商等個人資料,雖然電腦使用了開機密碼鎖的保護機制,但是硬碟並沒有加密,電腦中某些特定檔案也未遵循NASA規範進行加密,另外,還有一些放在車上的NASA內部文件也同時被偷走。
NASA副署長Richard Keegan Jr.透過電子郵件向員工說明該起事件,並呼籲所有員工引以為誡,根據NASA現階段評估,至少有1萬人受到影響,但實際受影響人數應該更高。NASA說明,由於外洩的資料必須同時進行電子和人工的驗證分析,預估要60天左右才能確認所有受影響的人數。
為了防止被竊的資料遭惡意使用,NASA提醒所有員工特別留意可能會收到造假的訊息、電話、email。舉例來說,對方可能會宣稱自己是來自NASA或其他官方單位的人員,要求提供個人資訊或進行資料核對。
另一方面,為了避免資料外洩事件再度發生,NASA下令要求所有員工的筆電必須在12/21之前完成加密保護,其中,需要在家工作的員工必須率先執行,否則不能將電腦帶離NASA。另外,也要求員工不能將機密檔案存在手機、平板和其他個人行動裝置上。
除此之外,所有員工也被要求重新檢視電腦中的檔案,以確認涉及特定主題的資訊是否確實做好加密,並清除那些不需要的機密檔案。受管制的檔案包括,所有與個人識別資訊(Personally Identifiable Information,PII)有關的資料、國際武器貿易條例(International Traffic in Arms Regulations,ITAR)、美國出口管理條例(Export Administration Regulations)、採購和人力資源資訊,以及其他敏感而非機密(Sensitive but unclassified,SBU)的資料。另一方面,Keegan表示,資訊長也正在評估是否需要在政策和流程上進行任何調整和改變。
Gartner分析師John Pescatore表示,NASA會發生這樣的事情一點都不令人意外,在過去幾年,NASA就發生過數起類似案件,報告顯示,在2009年4月到2011年4月的兩年期間,該組織中遺失或被竊取的行動運算裝置,數量竟高達48台。今年三月時,NASA也發生一起因筆電遺失而導致的資料外洩事件。
此外,在所有聯邦政府單位的筆電中,83%已經使用了加密工具,而NASA行動裝置的加密比例卻是其中最低的,根據白宮管理及預算辦公室(White House Office of Management and Budget)在今年三月公布的一份報告顯示,NASA的行動裝置只有41%符合聯邦資訊安全管理法(Federal Information Security Management Act,FISMA)的加密要求。
Pescatore進一步分析,NASA組織分布較為分散,每個實驗室都有獨立的IT運作和標準,因此加深了企業安全方案推動的難度,而這可能就是NASA在安全措施上落後其他單位的主要原因。
NASA的經驗或許可以做為台灣企業的參考,在思考如何應用行動裝置提昇作業效率、甚至擁抱BYOD浪潮的現今,確保資訊安全顯然是第一件要做的功課。