經理人觀點:資料外洩該如何防範?企業三招強化數位韌性

近日企業資料外洩事件頻傳,諸如兩大行動出租服務業者的客戶個資外洩、航空業者遭匿名勒索郵件等,引發媒體、政府單位與大眾對於「資料安全」議題的廣大關注;加上2月初總統率「資安院」揭牌,也再次喊話將集結研究資源,強化公部門資安韌性,輔導企業提升數位免疫力。

事實上,金管會在前年即宣布要求上市櫃企業在2023年底前設立資安長及相關責任單位,以電子服務業者(如電商、電支、行動服務等)做為主要營收的企業應提前於2022年底前落實資安防護,以跟進數位防護發展,維護消費者權益。近日接二連三的資料外洩事件,也讓金管會和調查單位更加緊盯企業的資安措施落實進度。

 

資料外洩防不勝防!三大危險需提早注意

許多人誤以為資料外洩議題是資訊管理人員的責任,其實資料治理是「管理問題」而非「技術問題」,IT只負責技術面設定,而不應該擁有機敏資料之讀取和使用權。換句話說,除了基於底層架構設計而造成的資安缺口外,同樣該注意使用情境上可能衍生的安全性問題。

資料安全可分為「資料本身」及「資料所運行之環境」的防護,隨著企業邁向數位化,資料不只存在於地端的電腦、伺服器中,也會放上雲端、SaaS、應用程式等載體,意味著資料管理與保護工作將面臨更加複雜的挑戰。

∎ 延伸閱讀 | 技術專欄:怎麼從頭開始進行營運持續計畫(BCP)規劃?

 資料外洩該如何防範?企業三招強化數位韌性

資料安全危機有很多種情境,可能源自外部的威脅或內部的洩漏,以及蓄意為之或意外造成。

 

一、資訊架構及網路連線設計不良

企業的資訊基礎架構環境日益複雜,大幅增加IT人員在規劃、維運及監管上的難度,一有疏漏就可能產生讓攻擊者趁虛而入的空隙。以最近行動出租服務商爆發的個資外洩事件為例,便是因為其用來記錄應用程式Log檔之暫存資料庫未能有效阻擋外部連線,而可能洩漏客戶個資。

企業如果平時不重視資安管理,很難主動發現此類資安破口及資料外洩事宜。防範關鍵在於「及早發現、及早治療」,除了平時應積極落實資訊及資安管理,定期與外部資安專家或稽核單位配合,進行安全性檢測,在身分權限及資料存取的各個節點上設立監測及回應機制,爭取在駭客進行異常存取時即時擋下攻擊,避免資料被往外送。

 

二、資料結構未妥善分權、分類

資料是重要的數位資產,資料治理更是當今企業的基本功,好的資料治理政策應該顧慮到安全性與可用性。「資料分類」是資料防護的第一步驟,依據組織的法務、商務要求應先訂定相應的分類結構,後續才能制定存取規則,防堵資料外洩與遏止惡意資料操作行為,甚至加密或追蹤。此外,使用頻率較高的「熱資料」也應該要有妥善的備份或備援機制,以避免資料萬一遭到惡意加密或意外遺失,至少還能盡快恢復運作。

另一方面,「資料權限」可與「身分安全」一同討論,以「3A原則」—認證(Authentication)、授權(Authorization)、稽核(Accounting)具體說明:誰有權存取?存取權限有多高?誰曾經存取哪些資料?管理者應該梳理組織內的職權關係,清楚劃分權限,再由IT人員協助完成設定。甚至更進階來看,應該避免永久授權存取,而是有限時間的授予資料存取權限,例如只允許上班時間存取或者是給予兩個小時的存取機會超過時間之後會自動鎖定,可以進一步有效控管可能的外洩破口。

 

三、未落實權限加密、流向追蹤或稽核記錄

數位時代下,資料旅程不再侷限於企業內部環境,我們很難規範使用者的Dos & Don’ts,因此針對「資料本身」也應依據機敏程度,採取相對應的防護措施。高機密文件可透過現在常見的資料外洩防護技術(Data Loss Prevention, DLP)加上「標籤」,以追蹤檔案的傳播流向、修改內容,並保留資料稽核紀錄(Log),作為法律證據或追查途徑

值得注意的是,多數企業在資安法遵議題上的專業知識及實務經驗普遍較為薄弱,但資料外洩事件往往涉及後續的稽核調查、責任追朔、消費者訴訟與賠償等等問題,企業對於機敏資料管理必須保留充足的稽核紀錄做為資安鑑識證據。
 

資料外洩該如何防範?企業三招強化數位韌性

 

由於資料治理的任務通常需要高階決策者參與,企業主的正確態度和行動政策是第一步,其次是授權給當責單位,有了技術、資源和權限,最後才能普及到使用者端。

企業日常也可向員工宣導正確觀念,例如不要把重要資料上傳私人雲端或通訊軟體,或是應妥善保管帳號密碼,注意公用電腦的登入狀態,避免因自身疏忽而讓惡人有機可趁。

隨著工作與生活上的流程應用逐漸電子化、數位化,不論是企業或個人,在享受方便性的同時,也應意識到資料安全是每個人的責任,千萬別等到資安事故發生後才後悔莫及。

 

∎ 延伸閱讀 | 怎麼從頭開始進行營運持續計畫(BCP)規劃?

∎ 延伸閱讀 | 企業備份大揭密.下集──具體的備份做法