2013 年


2013-04-30

Openfind 產品經理 林家正

應用郵件歸檔防範商業間諜與個資外洩,保護組織重要資產

近年來台灣陸續通過個人資料保護法與營業秘密法,政府一連串的大動作,展現出國家對於機敏資料保護的決心,各大企業與組織也開始面對法規遵循及捍衛企業商譽的雙重壓力。然而在企業主紛紛加強保護內部重要資訊免於外洩的同時,亦要著重在組織內人員蓄意洩密的管理,如此一來才能持續保持企業的競爭力,甚至更進一步的塑造出企業守護資產的專業形象。
 
為什麼電子郵件如此重要

現今的商務步調越來越快,不論是組織對外採購以及與客戶間的業務往來,又或者是組織內的日常工作運作,都需要大量的訊息交換。因此不難想像企業中各種關鍵性的資訊,均會經年累月的累積在電子郵件中,成為公司最重要的資產。
 
我們可以模擬一下這個狀況:A企業正在開發一項領先競爭對手的新技術或產品,期望透過此拉開與競爭對手的差異,並獲得超額利潤,但有天卻發現競爭對手竟然先推出類似的技術或產品,經過內部調查後,赫然發現居然是內部員工透過電子郵件外洩研發機密給競爭對手。當雙方公司準備對簿公堂並要使用電子郵件當作證據時,卻發現找出該封信件有如大海撈針,甚至該封信件早就被毀屍滅跡。
 
B企業發生個資外洩事件,經由調查後發現是研發主管不小心將個資透過電子郵件寄送出去,但令人疑惑的是為什麼研發主管會有個資?原來是人資部門每次都會寄送面試履歷的電子郵件給該研發主管,長期累積下來便有相當龐大的個資。若組織能定期進行郵件稽核,便能提早發現並修改作業流程,達到治本的效果。
 
上述的兩個例子便可充分說明電子郵件的重要性,許多企業對外溝通又只能透過電子郵件的管道,因此電子郵件也儼然成為資料外洩的溫床,若不嚴加管控,則會造成非常可怕的災難。
 
商業間諜手法揭露大公開

商業間諜雖然可以透過電子郵件洩漏公司的機密,但在也不會就很單純的將機密挾帶到電子郵件的附檔後就直接寄出,通常內鬼都會透過偽冒與加密的附檔來隱匿資料外洩的行蹤,企圖透過此來躲避郵件稽核系統。

**偽冒附檔
當我們在電子郵件下載一個檔案後,電腦大多會透過副檔名來判定此為什麼類型的檔案,如"報價單.xls",此則為Excel使用的檔案,但商業間諜可以竄改副檔名,將"報價單.xls"改成"報價單.xxx",企圖讓監控系統無法識別。

                                            

商業間諜還可使用更進階的技術,透過圖檔挾帶壓縮檔的方式,機密文件藏匿在其中,表面上開啟此檔案後,會發現的確是一張圖,但實際上該檔案卻是可以被解壓縮並顯示Office系列或是PDF文件,管理者往往看到圖片後便會認為該檔案並無問題,實際上卻是暗藏玄機。

** 壓縮、Office 系列與PDF加密
將機密文件加密,讓稽核系統無法辨識該文件,而加密又分成壓縮加密、Office系列軟體加密以及PDF加密,透過各式加密,讓稽核系統無法偵測其內文是否有商業機密的關鍵字。

如何應對商業間諜的手法

面對如此令人防不勝防的技術,管理者可以透過MailBase 4.0 SP3,先將所有電子郵件證據備份,並且使用新版本推出的獨家功能,抓取異常附檔,若組織內有人蓄意竊取資訊並躲避郵件稽核,透過竄改副檔名、將壓縮檔藏匿於圖片檔中、使用壓縮加密或Microsoft Office系列的軟體加密方式將檔案透過郵件寄出,但這些問題皆可透過MailBase的即刻查詢或是定時偵測的搜尋方式找出。
 


抓出異常附檔的信件,再搭配郵件流向圖,可快速找出核心的問題人物並執行後續相關的配套措施。

面對個資法

而電子郵件既然已成為對外溝通的重要管道(甚至是唯一管道),那面對個資法更要額外的小心謹慎,避免內部員工有心或無心洩漏個資。根據中華民國資訊軟體協會的個資保護生命週期,這邊不難發現已經有一套完整的流程依據,企業要跨出第一步,除了先做好規劃與準備外,就是要開始清查與評鑑,找出個資流向。
 
 
接著我們透過下列步驟來了解MailBase如何協助管理者面對個資法的挑戰。
 
**步驟1. 找出個資不該出現的地方
透過MailBase設定個資稽核規則,先將組織內的所有歷史郵件盤查一次,找出異常的郵件,如個資信件寄給研發主管,這便是奇怪的事,為什麼研發主管會收到許多含有個資信件。管理員便可開始針對這些異常之處進行調查,以便釐清問題。
 
 
 
** 步驟2. 比對現行作業流程
接著管理員針對問題根源,比對組織內的作業流程,確認發生狀況的緣由。接續步驟1的例子,管理員比對現行作業流程後,便發現由於研發主管常常收到人資部門寄給他的新人面試資料,導致該研發主管擁有大量個資。
 
**步驟3. 制定管理制度
釐清問題的所有情況後,便可開始制定管理的政策或是修正組織的作業流程,如問題導因於研發主管擁有大量個資,組織可設定以後新人面試資料一律透過紙本傳遞,且當研發主管面試結束後,一律將資料交還人資部門,讓人資部門統一刪除。
 
** 步驟4. 定期監控並釐清成效,以便修正管理制度
接著管理者便可透過MailBase的定期稽核功能,監控目前設定的政策是否有效。如之前討論的案例,管理者接下來可針對研發主管定期偵測,確認是否還有因常收到新人面試資料而導致累積大量個資,若還是會發生此狀況時則討論怎麼修改管理制度。
 
 
結語
在郵件溝通的管道中,無論要防範商業間諜或是個資外洩,治本的方式還是要先完整保存企業內的歷史郵件,並透過郵件歸檔系統的先進技術來協助組織做內部稽核,找出問題核心,並徹底執行後續的追查與政策制定,便能保護企業內部重要資產,遠離資料外洩風暴。