藉由數位鑑識 強化洩密事件應變處理

伴隨勒索病毒肆虐、雲端儲存資料外洩、行動App安全等議題延燒，加上物聯網攻擊威脅加溫，使企業面臨巨大風險，為了守護機敏資料，便投入可觀資源建立防禦架構；但再高的城牆遲早被攻破，不少企業逐漸意識這般現實，開始導正事件回應的做法與態度，以期減少衝擊、重建客戶信心，連帶讓「數位鑑識」重要性水漲船高。

影響所及，近幾年不少資安產品，紛紛宣稱具有數位鑑識能量，但多數產品僅具保存日誌(Log)功能，這些Log能否協助企業向洩密者究責？證明自身已盡良善管理義務？著實有待商榷。

現任台灣數位鑑識發展協會副秘書長，同時兼任中華數位科技、鑒真數位等顧問職務的許大千，強調「數位鑑識」係以周延的方法、技術及程序，保存、識別、抽取、記載與解讀電腦網路媒體數位證據，並分析其成因之科學，須完整滿足合法蒐證、完整紀錄、嚴謹流程、防止竄改、證物保全等要件，才能在法庭展現說服力、公信力與證據力。

由此看來，企業即便導入含有數位鑑識功能的產品，也未必能在營業秘密訴訟取勝，要做的事還很多。首要之務，企業宜先全面盤點營業秘密與風險評估，把可能動搖經營根基的所有紙本或數位資料，依序標示不同機密等級，施以不同級別管制，且量化各機密的商業價值。

其次企業須釐清所有潛在威脅來源，包括外部專業駭客、競爭對手、客戶、供應商或合作夥伴，甚至政府單位，及內部高階主管、管制職務、技術人員與離職員工，並因應不同來源建立對應管控機制。

可惜的是，許大千發現多數企業不論在關鍵機敏資料保全、或數位鑑識架構的建立，皆有莫大改善空間。首先在實體管理面，企業最常犯的錯誤是「人員認知普遍不足」，甚至未曾舉辦資安教育訓練，其餘常見缺失還包括「管理制度未臻健全」、「管制職務管理欠周詳」及「實體監控設施不足」。

其中管理制度健全與否，除了端看企業是否針對高階主管、離職員工或其他管制職務，乃至第三方廠商等不同角色，制定合理管制措施，另對於外賓參訪內部廠房的路線安排、簡報內容去識別化，也要有縝密規劃。

其次在資訊技術面，同樣有亟待精進之處，一方面務須保存相關稽核記錄，尤其莫要為了節省硬碟空間，便任意覆蓋Log或壓低CCTV畫素，中小企業不妨可善用第三方SOC或儲存空間等服務，彌補經費不足的缺口；二方面善盡資訊媒體保全，特別針對離職員工繳回的電腦或硬碟，做好備份保存；三方面應定期實施員工訓練。

有賴長官支持  循序建立鑑識能量

至於數位鑑識能量的建立，許大千建議企業先做好強化法規遵循、取得長官認同支持、投入適度資金、加強人員應變能力、採購合用的資安輔助設備、確保管理與技術整合等基本功，接著朝向事前預防、事發調查、事後回復三管齊下。

所謂事前預防，首重建立事件處理程序(SOP)，並設置異常行為稽核與監控、資訊媒體管制與封存等機制，同時不忘建立對外溝通平台，與外部數位鑑識服務商、營業秘密管理顧問及檢調單位持續交流。事發調查部份，需由企業偕同專業機構，齊力做好損害評估與控制、事件通報與記錄、證據蒐集暨保全、證據鑑識及調查、鑑識分析報告撰寫等工作，透過時間軸分析來還原犯罪現場。

在事後回復方面，一來需借助第三方專業機構引導，建立完備的法庭專家證人，二來有賴運用企業平日建立的備份備援資源，儘速進行業務回復與改善。