个资法专家/电脑被骇个资外泄 防护为首要关键
法务部居然遭到中共网军大举入侵,中国骇客得到一审办案系统资料,包括李宗瑞、林益世案的证人身分,甚至陈前总统健康检查结果,都可能曝光,不过资讯处出面澄清,外流的「只是」检察事务官和资讯处同事的个资。初步清查,发现外泄资料不如想像中严重。但电脑被中国骇客侵入毕竟是事实,资讯处长坦承技不如人,怀疑中共网军冒用长官名义发信,才会让资讯处人员失去提防,误开信件被植入木马程式,继新北市府公务电脑被测试攻破之后,再度发生政府资安危机。讽刺的是,法务部还特地制作影片,宣导个资安全的重要性,自我把关却破了大漏洞,资讯处有过半人员的电脑被骇客入侵,却浑然不觉
法务部竟然会爆发中国骇客入侵?其实一点都不奇怪。依我国个资法之「公务机关保有个人资料档案者,应指定专人办理安全维护事项,防止个人资料被窃取、窜改、毁损、灭失或泄漏」,这是强制性义务,但许多公务机关,却还是不了解何谓「指定专人办理个资安全维护事项」,企划室丢给总务处,总务处踢给资讯处,资讯处问文书科,文书科说应该找人事室,依旧互相踢皮球,没有人知道谁在何时动过这些资料,掩盖个资外泄的事实。对民间单位,个资法也有类似的规定,「非公务机关保有个人资料档案者,应采行适当之安全措施,防止个人资料被窃取、窜改、毁损、灭失或泄漏」;而如果不依这条的规定采行适当安全措施者,可处新台币20,000元以上200,000元以下罚锾。就这样的事情,单位的长官,能不能只是口头交代底下的员工「把个资管好、不管在什么情形下都不准外流」?试问哪个员工(恶意窃取的在此不论)会想要让自己手上的个资外流?又或者是被骇客偷走?那么很自然的,大家就会问「有没有办法在电脑被窃或骇客入侵的情形下,防止个资外泄」?
市面上究竟有没有合适的资安解决方案,让机关的电脑就算被窃被骇,里面的资料外人也拿不走、读不到?台湾资安界,推动文件保护不遗余力的优硕科技总经理黄祖仁表示当然有!这种东西,有的厂商管它叫DRM,有的叫DLP。DRM是Digital Rights Management(数位权利管理)、DLP则是Data Loss Prevention(资料外泄防制)。实际的作法各有巧妙,但它只须具备一项功能,就能让个资外泄的风险大幅降低:「把电脑里的个资加密、没有金钥就解不开」!就以上述法务部的例子来观察,倘若那台被偷走的笔电,里面的个资全都放在它硬碟的特定资料夹(比方说,D:DataPersonal Information)内、而该资料夹原本就被设定自动以DRM加密,那么,除非小偷还拿到了拥有阅览那些个资文件权限的金钥(这种金钥多半以复杂的演算法去产生,一般软体试帐密的作法几乎不可能打得开),否则就算破解了Windows的登入(大部分的使用者都是以简单的密码作设定,破解难度极低),这些含个资的文件仍然是受到充分保护的。
相关资料来源:优硕资讯科技http://www.trustview.com.tw/tw/default.aspx