2012年5月7日 星期一

[觀點] 雲端運算安全入門(四) - 法律問題與電子證據蒐集

上一次談到了雲端運算與組織的經營治理,也就是高階管理階層對於雲端安全問題應有的認知,以及因應雲端部署和第三方的管理建議,本文將探討和雲端運算有關的法律問題與證據蒐集,以及用戶和服務供應商如何因應安全事件的調查。 

雲端運算的其中一項特徵是會將資源作動態的虛擬化分配,也就是說雲端資料的儲存位置將跨越國界,這對於許多雲端服務的用戶來說,可能會無法控制或是根本不清楚資料實際的存放地點。一旦企業選擇透過雲端運算,將商務或個人相關資料移轉到雲端之中,對於雲端服務可能面臨的法律議題,就必須要有所認知並了解所需的因應作法。 

目前在各個國家,針對資料的存取和利用,特別是和隱私有關的個人資料,都有其法律規定與要求,例如在亞太地區,包括日本、澳洲、紐西蘭等國家,以及即將實施個人資料保護法的台灣,對於個人資料的保護與安全方面,都有需要遵守的規範,其中最值得作為參考的基礎,就是由經濟合作發展組織(OECD),針對個人資料的限制蒐集、正確完整性、具明確目的、限制利用、安全保護、公開、個人參與及責任義務等,所提出的個人資料保護八大原則,以及亞太經濟合作論壇(APEC)所提出的隱私保護綱領。 

在歐洲,則有歐洲經濟區(European Economic Area)的會員國依照歐盟在1995年公佈的資料保護指導綱要(Data Protection Directive)和2002年公佈的ePrivacy Directive,這些法規都有提到針對資料的安全要求和必須遵守的責任義務。

至於在美國,則有特定產業的相關法規,像是要求相關金融產業必須保障個人金融資訊隱私,確保資料的機密性、完整性,避免資訊遭到未經授權的存取與誤用的Gramm Leach Bliley Act(GLBA)法案;針對醫療產業,要求相關單位必須確保個人醫療資訊,實施良好的存取控制措施,保護資訊在傳輸過程中不會被竊取或竄改的HIPPA (Healthcare Information Portability and Accountability Act)法案;以及對信用卡和支付卡行業,要求必須實行嚴謹的網路安全措施,以保護信用卡持卡人資料安全的標準PCIDSS(Payment Card Industry Data Security Standard)。 

以上提到的這些法規,都會對於在雲端上蒐集、處理和利用資料,以及將個人資料傳輸到雲端儲存服務中,產生需要注意的法律議題。

雲端運算的法律問題 

對採用雲端服務的組織而言,一旦將資料傳輸到雲端之中,就必須要對相關的資料保護、安全管理、法律問題的責任歸屬定義清楚。尤其採用的是由第三方所提供的服務,那麼在合約之中,除了要求所需達到的服務等級水準之外,對於在資料處理、傳輸、儲存中所引發的問題,造成違反法令法律的事件時,彼此雙方的角色所應擔付的責任,最好是透過書面協議的方式,作為共同遵守的依據參考。 

換句話說,在採用雲端服務之前,組織必須評估本身對於採用雲端服務,在資料安全上面的需求、限制和期望,才能藉此來選擇所需的雲端服務型式與佈署模式,特別是要事先了解本身行業相關法令的規定,像是對資料傳輸加密方式和儲存地點有所要求的話,就可以將它反映在與服務供應商所簽訂的服務合約之中。 

關於合約的部份,許多服務供應商都會提供制式的合約給用戶進行審閱,但如果合約內容無法滿足用戶對於特定風險的要求,用戶就必須提出並考量是否需要實施額外的風險控制。舉例來說,如果用戶採用的是雲端客戶關係管理(CRM)服務,為了因應個資法的要求,如果在制式合約中並未明確定義相關內部人員的保密責任,或許就需要定義額外的個人責任義務聲明來要求相關人員簽署,同時也註明供應商必須負起連帶的損害賠償責任。 

要提醒用戶要注意的是,採用雲端服務並非是一成不變的,為了因應業務環境的不同和新版法令法規的要求,用戶必須要負起對服務供應商的監督責任,應該找出適合自己行業的評估與監控方法,例如定期實施測試、稽核,甚至要求在特定期限屆滿之後,重新審查服務條款和合約內容,這些都是可以考量實施的作法。

因應法規的證據提供 

如果您看過歐美的法律影集或電影的話,您會察覺到當發生法律訴訟時,光靠相關人等的證詞是不足的,必須配合在法庭上具有公信力的證據,對於訴訟成敗才能發揮關鍵性的影響。目前,除了在犯罪現場採集的實體證據之外,隨著資訊科技的發達,電子儲存資訊(Electronically stored information ; ESI)或數位證據(Digital evidence)用來作為呈堂證物,也成為因應資訊犯罪事件而受到矚目的焦點。 

由於在雲端之上儲存了大量的電子或數位化資訊,如何因應法規要求加以採集(E-Discovery),對雲端服務供應商和用戶來說都是一項不可忽視的問題,在雲端運算關鍵領域安全指南中,針對這個部份提出了以下的考量重點,簡要說明如下:
  1. 資料擁有者、託管者的責任釐清:當發生法律訴訟時,利害關係人有責任因應法律要求提供所需要的資訊,或是可主動提出以證明自己的清白。在雲端服務之中,雖然用戶是資料本身的擁有者,但可能是委託交由服務供應商來進行資料的管理,而且在服務運作的過程之中,針對資料的處理還會衍生出其他的相關電子資訊,例如資料存取的登入記錄、資料儲存備份記錄、系統運作的日誌等,這些資訊可能是用戶本身無法控管的。因此,若發生資料外洩事件時需要進行調查,那麼相關證據的提供絕非只是單方的責任,所以事前對資料管理責任的釐清就是必要的工作。 

  2. 回應法律調查和法院傳票的過程:以發生資料外洩事件為例,調查單位除了瞭解用戶所存放的資料類型之外,也可能會調查是否和服務供應商的雲端環境與應用程式有關,因此可能會直接傳喚服務供應商提供所需的資訊,這部分有可能不需要用戶的同意下就可進行,因此用戶和服務供應商雙方對於法律調查的流程需要有事先的認知與共識。另外,用戶很可能希望供應商在接到需要配合法律調查的要求時,可以在盡快通知可能受到影響的用戶,並且提出解釋與說明,因此建議將通知流程也納入在服務等級協議之中。 

  3. 數位證據的發現與搜索:如果組織使用的是完全自行管理的傳統資訊服務,一旦發生問題時,就可以很快的進行調查並且搜索保存可能的證據。但是,如果採用的是委外的雲端服務,用戶不見得有權限使用搜尋工具來取得所需的證據,若是需要服務供應商提供的話,就必須對進行的方式流程,以及可能產生的費用進行協商。 

  4. 電子記錄與數位證據的保護:對雲端服務供應商而言,相關電子記錄依據雲端的服務與佈署模式可能會不同,但原則上仍會依照傳統的作法,像是保留相關日誌(log)的方式來進行。用戶需要評估對於這些電子記錄或未來可能成為證據的保護作法,是否足以符合行業法規和法律要求,尤其是電子記錄容易受到損毀、竄改與消除的特性,如何確保電子記錄可明確反映事件發生的原貌,以及在蒐集的過程中,是否依照標準程序來進行採集,並且可持續維持正確與完整,確保其可被法庭所採納等,這些針對電子記錄的保護機制與調閱作法,可能也是一開始在選擇服務供應商時就要評估的重點。 

  5. 電子記錄的費用與保存:鑒於用戶可能會要求服務供應商保護相關的電子記錄,因此站在供應商的角度而言,定義所保存的資料範圍、期限及大量資料保存所產生的費用,就是需要思考的問題。如果無法達到用戶在服務協議中所要求的水準,那麼是否能夠提供其他的機制,像是讓用戶可自行下載保存電子記錄,可自行保管以作為事件調查與訴訟的參考。 

  6. 電子記錄的蒐集與鑑識:雲端服務供應商可能會允許用戶自行蒐集其所需的必要記錄,這些也會明訂在服務等級協議之中,但由於提供給大量的用戶使用,因此就要考量相關記錄的存取方式與頻寬問題。例如供應商可以同意讓用戶存取過去三年的交易記錄,但是將會限制只能單次下載最近二個星期的資料。至於若是用戶為了採集證據,想要使用映像(bit by bit)數位鑑識作法,可能不見得會被供應商同意,因為它需要連結到特定的硬體設備,礙於雲端服務的多租戶特性,這種作法是否會對其他用戶造成衝擊,也都需要事先的溝通與協調。 
及早因應法規的遵循要求 

由於法規遵循的要求日漸受到重視,也為了因應新型態的雲端服務,許多法律與技術專家都提出了不同的因應作法,尤其針對採取由第三方提供的委外服務,在美國和歐盟的相關法規,都建議將法規遵循的要求與責任,延伸至服務供應商,並且要求在合約之中加以規範和限制。

但是,由於牽涉到儲存在雲端的資料會跨越國界的限制,以及各國對於隱私保障的法律要求有所不同,再加上雲端數位證據的搜索採證仍顯得困難重重,所以有關雲端服務和法律的問題仍會不斷地被提出討論,無論如何,這是一個無法避免的議題,建議雲端服務的供應商和用戶都要審慎面對才行。(本文刊載於2012年3月號網管人雜誌)

[參考資料] 
CSA:Security Guidance for Critical Areas of Focus in Cloud Computing

沒有留言: