http://www.netadmin.com.tw/article_content.aspx?sn=1204090002
沈欣蓓
新版個人資料保護法和舊法最大的不同之處之一,即在於舉證責任轉移到企業組織身上,而法律訴訟有句法諺:「舉證之所在,敗訴之所在。」讓企業組織不得不正視 新法所帶來的法律問題與其所必須承擔的風險,也帶出了過去較鮮為人知的「數位鑑識」議題。除了佈署IT解決方案來預防外部攻擊與內部洩漏個人資料之外,透 過建立數位鑑識的觀念認知以及作法,企業也能夠更貼近法律,在事件發生之後,甚至是之前,能夠做到的預防和追查,其實可以更多、更有效。
何謂數位鑑識?
所謂的數位鑑識(Information Forensics)(又稱電腦鑑識或資訊網路鑑識),根據中央警察大學資訊管理系(資訊密碼暨建構實驗室)助理教授高大宇所提供的說明,指的是藉由事件 的「判別、鑑別」與「個化、類化」作為法院證據,在這當中,個化指的是「誰(Who)」做了「什麼(What)」,而類化則是指攻擊手法,而數位鑑識所需 留意的四項元素,則包括可用來查找對象的「IP位址」與「時間戳記」、用來確認對方做了些什麼的「數位動作」,及作為判斷犯罪既遂或未遂的「系統回應」。 而根據鑒真數位所提供的資訊,則是定義為利用資訊科技和嚴謹的程序方法,對電腦以及資訊相關設備進行蒐證與分析,進而保護證據、確保電子證據未被竄改,以 作為具法律效力的憑證依據。
鑒真數位資深鑑識顧問黃敬博表示,過去數位鑑識大多被用來提供給執法單位進行犯罪調查,然而隨著數位化時代來臨,企業遭遇各種機密資料外洩 或外部資安攻擊的資安事件層出不窮,無論是商業戰爭、離職員工報復或者是利益衝突,越來越多企業理解到資訊安全與稽核的重要性,而在資安事件發生之後,也 會從警政單位或其他法律管道得知數位鑑識的存在,進而尋求數位鑑識專業協助。
「大多數找上鑒真數位的企業客戶,都是為了程度較為嚴重的資料外洩事件或智財權糾紛。然而從去年開始,可觀察到不少大型企業也開始積極主動接觸數位鑑識領 域,希望能夠瞭解新的個資法所可能帶來的法律衝擊,以及企業需要做好哪些事前與事後的工作,才能符合法令規範。」黃敬博表示,企業客戶最主要還是為了法律 訴訟尋求鑒真數位的協助,希望找出具客觀性、公正性的法律證據,「其實,除了事後的蒐證與分析之外,企業也可透過認識數位鑑識來提高對新法與資安風險的因 應能力。」
建立正確認知與觀念 保留證據為第一步
「數位證據很脆弱,一旦被破壞很難再還原,因此保留數位證據,是因應法律訴訟的第一步。」黃敬博說,很多人對於數位鑑識的認知,停留在事後採用的方法途 徑,然而除此之外,「事前」保留數位證據也是相當重要的自我保護措施,他解釋:「IT人員較熟知的資安解決方案上,事前稽核(auditing)、事件 (log)保存等,是能夠強化數位鑑識的作法。另外,針對行為異常或離職員工,也可先做好數位證據保存或封存,當事件發生時,也較能夠進行蒐證與分析。」 黃敬博表示,事件保存與稽核機制建置得越完整,在進入數位鑑識蒐證階段時,能夠更有利於取得證據。而在封存證據之後,才能進行下一步的分析調查。
不過,光是保存或封存數位證據,也是一門大學問。他舉例,對於發生問題的數位資料,企業IT人員直覺反應是將該資料夾打開並且進行資料複製備份出來,「然 而一般的備份方式所備份出來的資料,其時間已被修改過,在法律程序上的效力較具爭議性。」換句話說,透過什麼樣的工具、採以什麼樣的處理程序,也是數位鑑 識極為重要的關鍵環節,「其實就和傳統鑑識一樣,鑑識方法與程序很多,但是必須能夠受到檢視,例如用拍照的方式拍下電子封存的使用工具,也是方法之一。」
觀察目前國內數位鑑識領域,仍有許多等待克服的瓶頸。高大宇表示,電腦相關領域範圍既廣且複雜,從硬體設備、網路、資料以及資訊安全等各面 向,分門別類卻也環環相扣,因此即使是專攻數位鑑識的組織單位,往往也只能針對部份環節(例如資訊安全領域)進行;另外鑑識工具也有本地化的需求,還必須 符合所在國的鑑識處理準則,才能提供較具法律效力的數位證據。
黃敬博也表示,國內數位鑑識發展起步較晚,因此無論是鑑識人才或者是工具,都還有待培養與研發,「國內資訊系統含有大量繁體中文,歐美國家所研發的鑑識工 具較難以進行鑑識分析。」而這也是鑒真數位積極開發鑑識產品與工具的原因之一。另外,行動裝置與雲端運算的興起,各種手持式裝置、應用程式、通訊方式,也 讓數位鑑識將更為複雜。不過,毋庸置疑的是,隨著新版個資法施行在即,企業仍可先建立數位鑑識的基礎認知,未來面臨法律問題時,較能採取正確的應變措施。
隨著新版個資法施行的腳步逼近,企業或許還在觀察與評估該從何因應,考慮需要採購哪些資安產品,然而至少可以確定的是,對於法律環節的認知,包括法律條文內容、協助企業舉證與免責的資安驗證機制與標章,以及數位鑑識等等,也將成為企業不容忽視的當務課題。
所謂的數位鑑識(Information Forensics)(又稱電腦鑑識或資訊網路鑑識),根據中央警察大學資訊管理系(資訊密碼暨建構實驗室)助理教授高大宇所提供的說明,指的是藉由事件 的「判別、鑑別」與「個化、類化」作為法院證據,在這當中,個化指的是「誰(Who)」做了「什麼(What)」,而類化則是指攻擊手法,而數位鑑識所需 留意的四項元素,則包括可用來查找對象的「IP位址」與「時間戳記」、用來確認對方做了些什麼的「數位動作」,及作為判斷犯罪既遂或未遂的「系統回應」。 而根據鑒真數位所提供的資訊,則是定義為利用資訊科技和嚴謹的程序方法,對電腦以及資訊相關設備進行蒐證與分析,進而保護證據、確保電子證據未被竄改,以 作為具法律效力的憑證依據。
 |
| ▲鑒真數位資深鑑識顧問黃敬博表示,透過瞭解數位鑑識的樣貌,企業在面臨法令規範與糾紛訴訟時,較能採取有利於法律訴訟的因應措施。 |
鑒真數位資深鑑識顧問黃敬博表示,過去數位鑑識大多被用來提供給執法單位進行犯罪調查,然而隨著數位化時代來臨,企業遭遇各種機密資料外洩 或外部資安攻擊的資安事件層出不窮,無論是商業戰爭、離職員工報復或者是利益衝突,越來越多企業理解到資訊安全與稽核的重要性,而在資安事件發生之後,也 會從警政單位或其他法律管道得知數位鑑識的存在,進而尋求數位鑑識專業協助。
「大多數找上鑒真數位的企業客戶,都是為了程度較為嚴重的資料外洩事件或智財權糾紛。然而從去年開始,可觀察到不少大型企業也開始積極主動接觸數位鑑識領 域,希望能夠瞭解新的個資法所可能帶來的法律衝擊,以及企業需要做好哪些事前與事後的工作,才能符合法令規範。」黃敬博表示,企業客戶最主要還是為了法律 訴訟尋求鑒真數位的協助,希望找出具客觀性、公正性的法律證據,「其實,除了事後的蒐證與分析之外,企業也可透過認識數位鑑識來提高對新法與資安風險的因 應能力。」
建立正確認知與觀念 保留證據為第一步
「數位證據很脆弱,一旦被破壞很難再還原,因此保留數位證據,是因應法律訴訟的第一步。」黃敬博說,很多人對於數位鑑識的認知,停留在事後採用的方法途 徑,然而除此之外,「事前」保留數位證據也是相當重要的自我保護措施,他解釋:「IT人員較熟知的資安解決方案上,事前稽核(auditing)、事件 (log)保存等,是能夠強化數位鑑識的作法。另外,針對行為異常或離職員工,也可先做好數位證據保存或封存,當事件發生時,也較能夠進行蒐證與分析。」 黃敬博表示,事件保存與稽核機制建置得越完整,在進入數位鑑識蒐證階段時,能夠更有利於取得證據。而在封存證據之後,才能進行下一步的分析調查。
不過,光是保存或封存數位證據,也是一門大學問。他舉例,對於發生問題的數位資料,企業IT人員直覺反應是將該資料夾打開並且進行資料複製備份出來,「然 而一般的備份方式所備份出來的資料,其時間已被修改過,在法律程序上的效力較具爭議性。」換句話說,透過什麼樣的工具、採以什麼樣的處理程序,也是數位鑑 識極為重要的關鍵環節,「其實就和傳統鑑識一樣,鑑識方法與程序很多,但是必須能夠受到檢視,例如用拍照的方式拍下電子封存的使用工具,也是方法之一。」
 |
| ▲中央警察大學資訊管理系(資訊密碼暨建構實驗室)助理教授高大宇表示,數位鑑識必須具備四項元素:「IP位址」、「時間戳記」、「數位動作」,以及「系統 回應」。 |
觀察目前國內數位鑑識領域,仍有許多等待克服的瓶頸。高大宇表示,電腦相關領域範圍既廣且複雜,從硬體設備、網路、資料以及資訊安全等各面 向,分門別類卻也環環相扣,因此即使是專攻數位鑑識的組織單位,往往也只能針對部份環節(例如資訊安全領域)進行;另外鑑識工具也有本地化的需求,還必須 符合所在國的鑑識處理準則,才能提供較具法律效力的數位證據。
黃敬博也表示,國內數位鑑識發展起步較晚,因此無論是鑑識人才或者是工具,都還有待培養與研發,「國內資訊系統含有大量繁體中文,歐美國家所研發的鑑識工 具較難以進行鑑識分析。」而這也是鑒真數位積極開發鑑識產品與工具的原因之一。另外,行動裝置與雲端運算的興起,各種手持式裝置、應用程式、通訊方式,也 讓數位鑑識將更為複雜。不過,毋庸置疑的是,隨著新版個資法施行在即,企業仍可先建立數位鑑識的基礎認知,未來面臨法律問題時,較能採取正確的應變措施。
隨著新版個資法施行的腳步逼近,企業或許還在觀察與評估該從何因應,考慮需要採購哪些資安產品,然而至少可以確定的是,對於法律環節的認知,包括法律條文內容、協助企業舉證與免責的資安驗證機制與標章,以及數位鑑識等等,也將成為企業不容忽視的當務課題。
全站熱搜
留言列表
