監守自盜怎麼辦？

◎魯明德　　

據報載，韓國信用評價公司負責改善客戶資料系統安全的朴姓技術員，從2012年５月到2013年12月間竊取國民銀行金融集團、農協銀行金融集團與樂天信用卡公司等，所發行超過１億張信用卡的個人資料，並複製到隨身碟賣給２家電話行銷公司，受害者超過2,000萬人。遭洩漏的個人資料包括姓名、電話、南韓的社會安全碼、電郵、住家地址、薪資、每月刷卡紀錄，以及其他信用評等資訊，甚至許多客戶的信用卡卡號也遭外洩。正在規劃公司電子商務系統的小潘看到這則新聞，想到自己正在建置的系統，未來可能也會遭遇同樣的問題，因此趁著過年向司馬特老師拜年之際，提出來請益。

　　司馬特老師表示，資訊安全不只是軟硬體的安全維護，還要顧及資料的安全；以我國的情況來說，如果因為資訊安全沒做好，造成客戶個人資料的外洩，除了刑責外，還有損害賠償的問題，所以企業的資訊安全應該提升到策略的層級。很多公司因為資源有限，資訊系統會採取外包的方式建置、維護。韓國這次的事件，就是因為系統外包所引起，因此對於外包人力的管理就顯得相當重要，一般企業的資訊安全管理，往往會忽視對外包人員的管理；如果這個外包人員又掌握公司的資訊系統，就應特別注意。由於外包人員非公司的編制人員，管理上十分尷尬，因此在進用外包人員時，應把公司的資訊安全相關規範事先告知，除要求個人簽訂保密合約外，並要求其派遣公司應負連帶的管理責任，工作期間對於資訊安全的管理，則應比照正式員工的要求。

　　其次，不管系統是外包建置、維護，還是由公司的資訊部門自行建置、維護，危安的潛在因素就是系統的管理者，因為他們都有合法的使用權；我們的各種保密規定都是針對使用者所設，而系統的管理者因為擁有權限，所以可做出各種權宜措施，甚至開設後門作業，不受正常的管制。以韓國這次洩漏信用卡個人資料的事件來看，該技術員就是系統的維護者，於是衍生出合法使用者監守自盜的問題。一般企業為避免資料經由員工的個人電腦外洩，通常會在員工的個人電腦上裝置管制軟體，限制員工將資料輸出，但是這個方式對於系統管理者是無效的，因為有心人士會用他的權限把限制打開，而達到合法存取資料的目的。

　　小潘聽到這裡，除了頻頻點頭贊同外，也有一個新的疑問：有權限的人可以合法存取資料，如果這個人心懷不軌，監守自盜怎麼辦？我們也沒有辦法對員工做身家調查，這要如何預防？

　　司馬特老師接著說，任何制度都是管理正常的人，對於預謀做壞事的人，很難靠系統事先預防，否則可能反而會限制系統及業務的正常運轉。為了防範有權限的人監守自盜，在設計系統時，可以把事後稽核的制度放進去，經由系統來提醒，以進行異常管理。小潘聽到這裡，心中又升起另外一個疑問：事後稽核時事情都已發生，不是來不及了嗎？

　　司馬特老師也同意小潘的想法，洩密事件既已發生當然來不及，但是洩密事件往往不只一次，以韓國信用卡的個人資料外洩為例，超過１億筆的資料顯然難以一次下載完畢，所以系統在設計時，應該有個監控機制，一旦某個使用者一直在下載資料時，就會發出異常報表給主管，以便適時採取行動介入，這樣就可以防止更多的資料被竊取。

　　公司如果因為業務需要而存放客戶的個人資料，就須做好資訊安全的工作，因為個人資料如果洩漏，在被害人無法證明實際損害情形下，法院仍可依侵害情節，以每人每一事件處新臺幣500元以上20,000元以下的賠償金；洩漏數量如果很大，按件計罰將會是公司很大的負擔。

　　小潘聽完司馬特老師的一席話，發現原來資訊安全影響到的不只是公司的技術資料，個人資料的外洩對公司的影響更大，除了要面對損害賠償外，商譽的損失更是難以回復！

　　隨著華燈初上，小潘帶著滿滿的收穫結束這次的師生下午茶會，心裡想著資訊在企業所涉及的層面還真廣泛，不是只了解資訊科技就可以處理一切，而心中對司馬特老師的知識淵博又更加佩服了！

（作者為科技大學資訊管理系講師） 摘自清流月刊103年3月號