[觀點] 從資料外洩事件談行動裝置管理

Apple iPhone的出現，讓我們見識到行動裝置的精巧與強大的功能，隨著行動裝置的製造技術突飛猛進，像是筆記型電腦、PDA、智慧型手機等各種可無線上網與儲存資料的裝置，已經普遍存在於週遭生活之中，雖然它們提供了豐富便利的科技生活，但相對地也帶來了潛藏的危機，那就是遺失裝置時可能造成的資料外洩問題。

安全機構Ponemon Institute的報告指出，有54% 的資安事件是因為筆記型電腦等行動裝置的資料遺失所引起，回顧過往的歷史，在2005年，美國飛機製造商波音公司一部含有38萬名現職及退休員工資料的電腦，因為員工一時疏忽放置在車上而遭竊；2006年，美國退伍軍人事務部也因為不小心遺失了筆記型電腦，造成了2,600萬筆退伍軍人資料的外洩事件。

另外，根據2007 CSI電腦犯罪與安全調查指出，從行動裝置中被竊取的資訊資產，估計金額高達234萬5千美元，值得深思的是，資料外洩除了對企業造成龐大的金錢損失之外，受創的更有無形的商譽與客戶信任。

行動裝置資料外洩的風險評估

曾經有人開玩笑說，「資安它說起來重要、做起來次要、急起來最好不要」，因為一旦做不好，可能就會讓自己成為眾人責怪的箭靶。但是，防止行動裝置所引起的資料外洩問題，的確已是管理人員責無旁貸的工作，萬一造成重要的營運資訊外洩，對於企業所造成的衝擊將難以估計。

所以，面對不斷增加的資料外洩事件，到底哪些資料該去保護？需要控管的行動裝置有哪些？遺失之後會對企業造成多大衝擊？這些都是要經過審慎評估的。

針對行動裝置可能產生的風險和有效的管理方式，建議管理人員可從以下的角度去思考：

Who─
到底是誰在使用行動裝置？是不是合法的使用者？是否給予適當的連線存取資料權限？

When─
什麼時候會需要使用行動裝置？外部連線回企業內網的時段是否該限制？行動使用者在登入網路之後，是否該定時執行政策掃瞄？

Where─
使用者會在哪裡使用行動裝置？會議室與公共空間是否開放使用？可供行動裝置使用的無線網路範圍有多大？

What─
行動裝置可以存取到什麼資訊？允許行動裝置存取的應用系統有哪些？什麼資料該有控制措施來防止被輕易複製帶走？

How─
使用者如何使用行動裝置？是否安裝了相關的安全軟體？資料傳輸過程中是否需採取加密措施？

Why─
為什麼需要使用行動裝置？該不該考慮強制禁止使用？

選擇適當的安全控制措施

在評估了行動裝置可能產生的風險之後，接下來我們可以採取一些控制措施，來降低使用行動裝置的風險，從技術面可考慮實施的方法有：

• 部署網路存取控制方案 - 企業可藉此掌控所有連上網路的裝置清單，區別合法與不合法的裝置，並分別賦予其適當的權限，在連線時進行惡意程式與系統掃瞄，同時也要記錄行動裝置在存取資料時的行為以供日後稽核之用。

• 設置密碼與資料加密 - 對於筆記型電腦等行動裝置，必須設置BIOS開機密碼和Windows登入密碼，另外還需要針對硬碟所儲存的內容進行加密，以避免設備遺失時造成資料外洩。

• 進行使用者權限控管 - 依據最小權限的作業原則，限制使用者可以存取的資料，避免其利用行動裝置取得機密檔案而攜出使用。
  
  
• 管制無線網路的使用 - 許多行動裝置都具備了無線上網功能，企業必須限制無線網路可使用的對象與範圍，必要時可設置無線網路入侵偵測系統，防堵非法架設的無線基地台(AP)，同時保護使用者不會誤連至惡意假冒的基地台。
  

除了技術面之外，面對使用者的行為遠高於技術可以管控的範圍，我們還必須同時從管理面來著手，讓使用者明瞭使用行動裝置的注意事項，例如：

• 含有重要或機密資訊的行動裝置，在攜出時務必要有主管的授權。
  
  
• 公務用筆記型電腦禁止安裝P2P檔案分享軟體。
  
  
• 攜帶行動裝置的背包或手提箱，最好選擇具有可以上鎖功能的款式，另外，也不要挑選外觀太過華麗且過於明顯的背包，以免成為竊賊覬覦的目標。
  
  
• 在公共場所使用筆記型電腦時，不可讓它遠離視線之外，建議可使用筆記型電腦專用的防護鎖，將它和固定的物品鎖在一起。
  
  
• 避免在外使用不安全的網路進行重要工作，像是公眾無線網路或未採取加密機制的AP，以避免資料在傳輸過程中被截取竊聽。

從國際法規看資料防護的要求

對負責資安的人員來說，參考國際法規的規範要求，對於資料防護工作有莫大的幫助，例如美國的Gramm Leach Bliley Act(GLBA)法案，即要求相關金融產業必須保障個人金融資訊隱私，確保資料的機密性、完整性，避免資訊遭到未經授權的存取與誤用；針對醫療產業，Healthcare Information Portability and Accountability Act(HIPPA)法案則要求相關單位必須要確保個人醫療資訊的安全，具備良好的存取控制措施，並確保資訊在傳輸過程中不會被竊取或竄改。

在個人信用資料方面，Payment Card Industry(PCI)資料安全標準要求銀行必須實行嚴謹的網路安全措施，以保護信用卡持卡人的資料安全；California Senate Bill 1386法令，則要求企業在發生資料外洩事件時，必須要通知企業員工、顧客及可能受到侵害的個人，避免掩蓋事件而造成更大的傷害。

至於2002年制定的Sarbanes-Oxley Act沙賓法案，則是要求所有在美國掛牌上市的公司，必須做好內稽內控的資訊安全工作，如果因為行動裝置所搭載的重要營運財務資訊失竊或是遭到竄改公佈，造成市場的重大衝擊，將會對違反沙賓法案的企業處以100萬美元罰款或是對負責人處以20年以上刑期。

總結

綜合以上所述，當企業從技術面與管理面來做好行動裝置管理的工作之後，仍然要持續針對可能遺失的資料進行風險評估，判斷是否會影響到企業的核心業務，以及可能造成多大的損失，然後再重新修正相關的資安政策。

此外，大多數企業對於員工的資安教育訓練，很少將它視為需要優先執行的工作，在員工缺少安全意識的情況下，自然會增加資料外洩的風險，對此，企業管理人員也不可不慎。(本文已刊載於2007年12月號網管人雜誌)