健康檢查新聞:

文/個資法專家

法務部居然遭到中共網軍大舉入侵,中國駭客得到一審辦案系統資料,包括李宗瑞、林益世案的證人身分,甚至陳前總統健康檢查結果,都可能曝光,不過資訊處出面澄清,外流的「只是」檢察事務官和資訊處同事的個資。

初步清查,發現外洩資料不如想像中嚴重。但電腦被中國駭客侵入畢竟是事實,資訊處長坦承技不如人,懷疑中共網軍冒用長官名義發信,才會讓資訊處人員失去提防,誤開信件被植入木馬程式,繼新北市府公務電腦被測試攻破之後,再度發生政府資安危機。

諷刺的是,法務部還特地製作影片,宣導個資安全的重要性,自我把關卻破了大漏洞,資訊處有過半人員的電腦被駭客入侵,卻渾然不覺

法務部竟然會爆發中國駭客入侵?其實一點都不奇怪。依我國個資法之「公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏」,這是強制性義務,但許多公務機關,卻還是不了解何謂「指定專人辦理個資安全維護事項」,企劃室丟給總務處,總務處踢給資訊處,資訊處問文書科,文書科說應該找人事室,依舊互相踢皮球,沒有人知道誰在何時動過這些資料,掩蓋個資外洩的事實。

對民間單位,個資法也有類似的規定,「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏」;而如果不依這條的規定採行適當安全措施者,可處新臺幣20,000元以上200,000元以下罰鍰。

就這樣的事情,單位的長官,能不能只是口頭交代底下的員工「把個資管好、不管在什麼情形下都不准外流」?試問哪個員工(惡意竊取的在此不論)會想要讓自己手上的個資外流?又或者是被駭客偷走?那麼很自然的,大家就會問「有沒有辦法在電腦被竊或駭客入侵的情形下,防止個資外洩」?

市面上究竟有沒有合適的資安解決方案,讓機關的電腦就算被竊被駭,裡面的資料外人也拿不走、讀不到?

台灣資安界,推動文件保護不遺餘力的優碩科技總經理黃祖仁表示當然有!這種東西,有的廠商管它叫DRM,有的叫DLP。DRM是Digital Rights Management(數位權利管理)、DLP則是Data Loss Prevention(資料外洩防制)。實際的作法各有巧妙,但它只須具備一項功能,就能讓個資外洩的風險大幅降低:「把電腦裡的個資加密、沒有金鑰就解不開」!就以上述法務部的例子來觀察,倘若那台被偷走的筆電,裡面的個資全都放在它硬碟的特定資料夾(比方說,D:DataPersonal Information)內、而該資料夾原本就被設定自動以DRM加密,那麼,除非小偷還拿到了擁有閱覽那些個資文件權限的金鑰(這種金鑰多半以複雜的演算法去產生,一般軟體試帳密的作法幾乎不可能打得開),否則就算破解了Windows的登入(大部分的使用者都是以簡單的密碼作設定,破解難度極低),這些含個資的文件仍然是受到充分保護的。

相關資料來源:
優碩資訊科技http://www.trustview.com.tw/tw/default.aspx