落實事前風險管理 防堵資料外洩不二法門
企業唯有做好事前風險控管工作,且絕對不能抱有交給資安機制處理的被動想法,才能有效保護各種商業機密。
採訪/施鑫澤·文/林裕洋·刊期/2023.09
在全球供應鏈體系統中,臺灣產業佔有舉足輕重的地位,關鍵在於多年來各家業者積極投入創新研發工作,才能逐步擴大與競爭對手之間的差異。在協助各業者保護自家營業機密的前提下,2013 年臺灣修正營業秘密法,最高可處 5 年以下有期徒刑、1,000 萬元以下罰金。過去幾年,身為臺灣高科技重鎮的新竹科學園區,也發生數起商業機密遭竊事件。
為促使企業提出告訴的意願,2019 年立法院進一步透過修法,引進偵查保密令制度,強化偵查中營業秘密之保護,達到有利檢察官速偵、速結的目的。而綜觀現今企業資安工作,泰半都是由資訊長全權處理,因此對於相關法規也必須稍有了解,除有利於資安防護機制的設計之外,於爆發商業機密外洩事件時,也可透過與公司法務之間的緊密配合,將公司受害程度降到最低。
新竹地檢署檢察官劉怡君表示,過去幾年我們參與不少新竹科學園區業者遭到攻擊,導致機密資料被竊取的案例,如某知名科技廠商連續多次爆發遭到駭客入侵,且每次都精準取得最新的重要商業機密。調查機關深入瞭解之後,發現這應非僅是單純遭到外部駭客攻擊,而是有內部惡意員工配合所致,所以也將此疑慮告知該公司。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
可惜該公司並沒有接受調查機關的建議,還是將此類駭客集團竊取資料列為一般事件,沒有深入調查是否有惡意員工配合,最終導致相關事件接二連三又再發生。根據側面了解,可能知名企業與國際品牌公司有合作關係,為避免商譽、訂單受到影響下,最終沒有向調查機關正式報案或提出告訴,導致偵查機關沒辦法持續深入調查,也讓犯罪集團逃之夭夭。
妥善蒐集資訊 定時進行稽核
在全球資安事件頻傳的狀況下,現今企業愈來愈重視資安防護工作,除會依照公司營運需求引進合適的資安設備之外,也會建立可蒐集各種資安設備產生系統資訊(log)的 SEIM 平台。最後,再將相關資訊交由專業資安團隊進行分析與解決,期盼從中找到隱藏的資安訊息,有助於提早預防潛在的資安威脅。
企業透過蒐集、彙整 log 資訊時,應該可發現某些員工經常出現違規的狀況,如使用 USB 裝置、嘗試登入沒有權限的系統或資料夾等。除部份員工屬於一時疏忽外,亦不乏故意違規、嘗試尋找系統的漏洞。而當被資訊團隊、資安團隊發現後,泰半會以只是方便工作順利進行,或只是習慣一時改不過來等理由塘塞。事實上,前述狀況背後,代表員工已發現系統規則中的漏洞,輕則只是讓企業陷入資安風險之中,重則可能早已導致重要機密外洩而不自知。
[ 推薦閱讀:傷害資安從業人員的七大錯誤心態與正確的看待方式 ]
劉怡君指出,企業建立 log 蒐集機制之後,應該要定期去做稽核的工作,而不是等到資安事件、資料外洩事件爆發之後,才開始進行。唯有定時進行稽核工作,才可知道現行機制存在哪些漏洞,方便後續進行修正與調整,以及知道有哪些員工經常利用漏洞從事違規的行為,達到防範犯罪於未然的目標。
慣性違規員工 提高稽查密度
在長期協助企業處理商業機密外洩事件的過程中,劉怡君認為當發現有員工可能故意去做違規行為時,應該要進行長時間觀察,且提高對該員工的稽查密度。因為從過往經驗發現,此類刻意不遵守公司規則的員工有種特殊習性,當違規行為被發現時,下次就會尋找其他漏洞繼續違規,企圖造成資訊或資安團隊的工作負擔。
「舉例而言,我們曾經發現有惡意員工把機密資料的部分內容,複製到空白文件中後,再以空白檔案名稱寄給外部郵件帳號。而傳統企業通常在分析 log 檔案時,通常是優先查看文件名稱有風險檔案,畢竟當資訊內容太多時,稽核人員無法全看。」劉怡君解釋:「所以當檔案名稱為簡報一、簡報二,又或者是空白時,很容易讓人的警覺性降低,成為資安防護上的破口。而惡意員工正是利用此弱點,嘗試將機密資料夾帶出去」
當該位員工的惡意行為被抓出來之後,下次又改成在每週、每個月固定製作的報表中,夾帶一頁機密資料,再用原始的檔案名稱寄出去。這代表負責稽核的人員,必須要看完完整內容之後,才知道有夾帶機密資料,長期下來很容易造成稽核人員的疲乏。在此狀況之下,企業若針對此類具有違規習慣的員工,沒有提高頻率的稽核制度,絕對不容易察覺此類惡意手法,也可能成為員工竊取商業機密的慣用手法。
劉怡君認為企業察覺此類違規事件時,儘管手法不需要對全公司公布,但至少應該要採取適當作法告知相關單位的員工,公司會採取相對應的懲處作法,宣示公司落實機密資訊保護及資安政策決心。因為若要遏止違規事件發生,主管態度非常重要,若表現得不夠強硬、明確,甚至針對較高層級主管就放鬆違規懲處,就無法讓員工看見公司落實政策的決心,反而會讓員工覺得偶而違規沒關係,最終可能將導致商業機密被竊取的憾事發生。
制度規劃 有利落實資料保護
或許因為竹科是臺灣、乃至於全球的高科技重鎮,長期致力投入創新技術研發的原因,所以多數公司都習慣用資安技術去控管資料存取的工作。然而根據過往的處理經驗,劉怡君認為要落實資安控管工作,不能全部靠資安防護機制。
綜觀企業規劃的資安控管機制,往往是一套涵蓋跨部門的資料保護機制,唯有 CIO 或 CISO(資安長)透過親身參與資料存取流程之後,才知道原有整個問題的全貌為何。
「我們發現企業都非常注重技術研發,覺得自身產品或服務非常好,但是卻忽略保護資料工作也必須同步執行,讓我們感到非常可惜。」劉怡君解釋:「許多公司直到發生機密資料外洩時,才想要進行追溯,期盼透過營業秘密法等法規提起告訴,遏制相關事件再度發生。但是若事前的資料保護工作沒有預先完成時,後續追溯工作可能會徒勞無功。」
簽署競業禁止條款 可杜絕眾多潛在風險
談到資料外洩或許可透過資安機制防堵,但若是員工透過自身的強大記憶裡,將各種商業機密記錄在腦袋中時,就非以技術為核心的資安防護機制可以防範,而需仰賴傳統的競業禁止條款。此條款是指企業在保護公司的商業機密、營業利益等前提下,要求員工在職期間或離職後之一定期間內,不得受僱或經營與其相同或類似之業務工作。而員工離職後的競業禁止條款,則必須符合依據勞動基準法第 9 條之 1 規定。
劉怡君曾經接到某知名竹科企業提出的侵權案後,新竹地檢署在深入了解之後發現,是有員工在離職之後,透過自身記憶力把原本可能屬於公司的商業機密的技術成為自己的知識,最後到新公司任職時,再以新公司為名向經濟部申請專利權。在檢視該企業提出相關證據後,發現並沒有與該員工簽署符合法規的競業禁止條款,加上該員工取得商業機密過程並沒有違反公司資料管理政策,甚至無法找到員工有違反法律規定的侵害營業秘密行為,在法律上並沒有違反任何法規,無法由地檢署或是調查機關進行偵辦。
「當我跟該公司說明公司並沒有簽署競業條款,也沒有在工作規範中明定技術的所有權等,在法律上是否構成侵權便有爭議。但是該公司研發處長完全不懂勞動基準法第 9 條之 1 規定內容,只是一再表明該員工是以公司資源進行研發,沒有權利將相關資源帶走並申請專利。」劉怡君指出:「相較之下,陪同與會法務主管則是頻頻點頭,代表法務部門原本就知道相關條文的內容,並且知道公司主張要追訴此前員工的刑事責任有其難度,但卻在會議中難以有機會及立場表達意見。造成此種狀況主因,我們認為在於公司僅注重技術研發,任何風險控管工作都是以研發部門為中心思考,以至於不採納法務、資安單位的意見,可能造成公司在評估是否採取法律行動時失準,徒增準備訴訟的資源與時間花費,卻未能對症下藥達到追究責任或防止類似事件發生的效果。」
事實上,簽署競業條款在新竹科學園區已是常態,而根據新竹地檢署私下了解發現,該公司法務早有準備符合勞動基準法第 9 條之 1 的相關文件,但研發單位擔心要求新進員工簽署此文件後,反而會成為招募技術人才的絆腳石,因此未予採用。當爆發機密資料被員工攜出時,反而無法以員工與公司簽署合約為基礎來保護公司的權益,在平衡公司研發量能及機密資訊保護間的緊張關係時,「有些成本不能省」可能是公司必需有的覺悟。
保護商業機密安全 首重事前風險控管
從前面新竹地檢署分享的案例,企業在引進各種資安方案、建構合適的資安防護架構之外,也必須做好的事前風險控管工作。舉例而言,若員工過往工作時間很正常,但是近期突然頻頻在假日等時段來加班,又或者提出離職申請之後,開始密集選擇在深夜或假日加班時。此時,部門主管、人資部門等,應該主動要求資訊部門針對前述員工,調閱電子郵件的歷史紀錄,伺服器的存取紀錄等,透過跨部門合作方式,做好事前風險控管工作。簡單來說,企業絕對不能抱有交給資安機制處理的被動想法,否則勢必會面臨前述公司的相同處境。
劉怡君認為,要限制員工作出違規的行為,必須透過跨部門及多元機制相互配合,除資訊系統的權限管理工作之外,也必須簽署符合勞動基準法第 9 條之 1 的競業條款,明白告知員工相關工作規範。另外,對員工的教育訓練尤為重要,在平時進行教育訓練工作時,也必須宣導相關機密資料的存取規範等。唯有如此,才可能在發生機密資料外洩狀況時,透過營業秘密法等法規,保障公司的權益等。
反之,若公司本身沒有事前風險控管的概念,只一昧想要憑藉著資安設備杜絕所有風險。日後,當發生員工私下販售機密事件時,又或者自行去申請專利時,企業可能會陷入求償無門的困境。除此之外,企業也不妨可以考慮聘請具有執法經驗的人員參與團隊,協助找出公司的營運風險,有助於做好事前風險控管的工作,達到保護重要數位資產、營業秘密等目的。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
