「近年來資安危機已從對外駭客攻擊或是植入病毒木馬程式,逐漸轉換成對內的防止資料外洩(Data Leak Prevention,DLP)。」台達電子資訊處朱漢安資深處長表示,傳統的資安危機幾乎一致槍口對外,也就是駭客入侵、垃圾郵件或是電腦中毒等事件,這些危機靠著資安服務業者如趨勢科技等,所提供的防火牆或是病毒入侵偵測等服務,已為台達電提供完善的資安準備。目前最應該擔憂的反而是,隨著網路應用的普及化,各種使用者的終端介面都可以連上雲端,以及企業愈來愈全球化,客戶與員工分佈於世界各地,當從外面連到企業內部時,則如何防止資料外洩,則變成台達電最重視的資安課題。
(圖為台達電子資訊處資深處長朱漢安)
**DLP資料外洩防護成為資安採購重點
**台達電目前最重視的防止資料外洩議題,同時也是許多資訊長相當重視的項目。因應個人資料保護法上路,企業主對於保護客戶重要的個資不再是紙上談兵,而是確切列入今年度資安重點評估和採購項目。根據DIGITIMES的2012年企業資安管理政策調查,為因應個人資料保護法的實施,企業在資安設備與服務採購上,以DLP獲得第一高票。
造成企業內部重要資料流出有許多個途徑,許多人的刻板印象都認為,資料外洩的主因來自於外部,也就是企業資料庫或伺服器遭到駭客入侵或是藉由員工電子郵件被植入木馬程式或病毒感染。但根據趨勢科技的報告顯示,有78% 資料外流來自於內部員工,不管是惡意或是無知,在離職時利用職位之便,把公司資料甚至是機密文件一併帶走。
朱資深處長解釋,去年公司曾發生兩件資料外洩的遺憾,其一為離職主管將公司資料帶走,並且到競爭對手的公司服務。其二,為員工將公司ERP的教育訓練資料,上傳到中國大陸的百度網站。這兩件事情讓台達電開始重視內部員工對於資安保護的宣導。
**以不影響效率為原則制訂資安政策並由系統稽核
**「有句話是這麼說,不教而殺謂之虐。」朱資深處長表示,當時公司內部並沒有明確的資安政策,例如哪些資料屬於機密或是一般性,哪些資料不能分享、上傳或藉由檔案寄出,因此當發生資料外洩時,無政策依循來懲罰造成資料外洩的主事者。為了加強員工重視資料外洩的嚴重性,因此由法務單位、人資單位以及資訊處共同組成一個委員會,來制訂資訊安全與商業機密等相關政策。朱資深處長進一步解釋,由於台達電事業群眾多,每個事業群對於機密資料的定義不同,因此委員會所制訂的只是大原則,並且先在其中一個BU推廣示範,視該BU落實的狀況與發生的問題再做增修。
「我們對員工採取信任,除非發生違規事件,否則不限制使用權限。」朱資深處長解釋,在資安政策的推廣上,一開始採取宣導,也就是把該事業群對於資料保密程度作分級,機密的資料必須受到嚴格保護,告訴員工屬於機密文件絕對不可分享、上傳與轉寄等。台達電的資安政策作法為一視同仁,並依權責分明原則做權限設定,例如哪些部門的人只能看某些資料,哪些人則不行。但在一個固定時間後,會把每個員工看過哪些資料做統計報表供主管查核,當發現員工看不屬於自己工作執掌的資料,主管必須瞭解員工查閱此資料的動機與目的,做進一步處置。朱資深處長強調,台達電對於資安防護的作法,在制訂政策與落實作法時,除了講究安全外,並考慮員工的感受來進行。可喜的是,目前都還沒有發生異常狀況,顯示同仁很重視公司的資料安全。
**交給專業資安服務偵測郵件機密與病毒
**此外,為了保護新產品或新軟體的開發專利,台達過去採由在工程師自己的電腦上研發作業;但現在電腦只是一個終端介面,所有開發工具都儲存在伺服器的開發環境裡,程式設計完成後,也採由儲存在遠端環境,而非個人電腦裡,以避免專利外洩。台達對於保護資料外洩從政策端到執行端,做到滴水不漏。
台達電在防止資料外洩的作法,並不只限於機密文件在企業內部的管控,也延伸到對外文件的機密保護。朱資深處長解釋,對於員工寄出去的附加檔案,我們委由資安業者提供的資訊系統,來做關鍵字資料掃瞄,舉例來說,當檔案裡有出現台達電營收等關鍵字眼,系統即會偵測到,並立即擋下,以保護公司機密文件。至於從外部寄給內部員工的信件,只要有執行檔.exe的檔案,系統也一律阻擋,以防止木馬程式透過郵件滲透到企業內部。
根據研究機構拓墣預估,2012年全球雲端運算服務市場產值約有259億美元,因應雲端商機,台達電也成立雲端技術中心,未來台達電將與資安設備業者合作,提供更完善的雲端應用服務。朱資深處長表示,隨著台達電企業在轉型之際,而新事業群也愈來愈多,公司內部要專注自己企業的核心競爭力,把資訊安全防護的議題,交給專業的資安服務業者,企業內部只要落實政策即可建構一個安全無慮的環境。
**◎專家觀點-趨勢科技
**因應即將在下半年上路的個資法,許多企業仍然無所適從,不知道如何建構一個資訊安全的環境,來保護客戶資料或公司機密,以符合個資法的規劃。我們建議,企業對於防止資料外洩的作法,並不需要改變公司內部原有的管理制度以及限制週邊硬體與員工的網路使用,也不要花太多的時間維護資安,如此一來容易降低員工的生產力以及影響同仁的觀感。解決之道其實很容易,只要整合DLP功能在單一的防毒程式中,再由此延伸在企業既有防護上添加DLP功能即可,簡單來說,透過整合DLP功能的防毒軟體掃描,公司同仁不需要改變電腦的使用習慣,也不破壞改變檔案本身,一旦使用者疏忽或刻意洩漏資料,將被會系統偵測、記錄與阻擋,為企業資安做到嚴格把關。
延伸閱讀:想了解更多企業如何防範資料外洩
