法規遵循 軌跡資料 營業秘密 鑑識 資安

掌握資安軌跡資料 數位鑑識揪出洩密鐵證

2014-11-19
除了個資之外,企業對於營業秘密也應建置包含軌跡資料的安全措施。掌握營業秘密與個資的軌跡資料,將有助於數位鑑識工作的進行,了解誰在何時在何處如何蒐集、處理、利用了哪些營業秘密與個資,以進行事前監控及事後調查資安事件。
個人資料與營業秘密的外洩是企業經常面對的兩種資安犯罪類型。透過「數位鑑識」可以蒐集、分析、重現、甚至還原數位證據,有利於事前監控及事後調查資安事件。掌握個資與營業秘密等本體資料的「軌跡資料」,更有助於數位鑑識工作的進行。

資安犯罪的資料流程

近年來,個資外洩事件層出不窮,今年(2014)9月初包括珍妮佛·勞倫斯在內的眾多好萊塢明星儲存在Apple雲端系統iCloud的私密裸照遭駭客盜取外流事件,有明星抱怨其已刪除檔案,為何在雲端還會遭人竊取。影音聊天應用程式Snapchat標榜其傳送的照片檔在接收方閱覽後幾秒內會自動消失,卻遭爆料該照片實際上仍可尋回,引發涉嫌詐欺消費者的爭議。

我國資通產業大廠宏達電與聯發科則相繼發生離職員工涉嫌竊取營業秘密並外洩給競爭對手的案例。去年8月間驚爆宏達電簡姓高階主管等人共謀詐領設計費,還竊取手機介面程式等營業秘密,疑為離職後帶去其自行創業的設計公司或與中國業者共同合作研發。嗣後又傳出聯發科對已離職的袁姓特助提出侵害營業秘密的刑事告訴,指控其涉嫌於離職前竊取聯發科的機密文件並帶槍投靠競爭對手即中國的展訊公司(但於今年6月間獲不起訴處分)。

從軌跡資料下手

不論是個人資料還是營業秘密的竊取外洩,都牽涉到資料傳遞流程,包括資料的接觸、重製、傳送到儲存等流程。為抓到嫌犯並將其定罪,除了必須在嫌犯可控制的領域如手機、電郵信箱、家中電腦、新任職公司的電腦等處搜索並扣押其所竊取的營業秘密或個資(即資料端點)之外,如果還可以取得該等資料存取的主體、位址、時間、檔案類型、容量、流向等軌跡資料,將有助於將資料端點連成一線,勾勒出涉案資料流程的完整面貌,讓嫌犯百口莫辯。

所謂「軌跡資料」即Log Files,屬於「Metadata」(翻譯為「元資料」或「後設資料」),亦即「關於資料的資料」(data about data),最典型的例子就是圖書館藏書(即Data)的書目資料(即Metadata)。以電話通訊為例,電話中所談的內容是原始的Data,而該次電話通訊之發話人與受話人的電話號碼、通話日期與起訖時間、通話地點等通聯紀錄就是Metadata。電子檔案也可以建制資料存取的主體、位址、時間、檔案類型、容量、流向等軌跡資料,藉此Metadata管控並掌握Data的相關訊息。

依個資法第18條與第27條規定,公務機關與非公務機關保有個資檔案者皆應採行適當之安全措施。依個資法施行細則第12條規定,該安全措施係指防止個資被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施,其中得包括「軌跡資料」,其係指個資在蒐集、處理、利用過程中所產生非屬於原蒐集個資本體的衍生資料,如資料存取人的代號、存取時間、使用設備代號、網路位址、經過之網路路徑等,可用於比對、查證資料存取的適當性。

除個資之外,企業就營業秘密也應建制包含軌跡資料的安全措施。掌握營業秘密與個資的軌跡資料,將有助於了解誰在何時在何處如何蒐集、處理、利用哪些營業秘密與個資,以進行事前監控及事後調查資安事件。

數位鑑識的輔助調查

在司法案件中,事實需要透過證據來證明。有鑑於越來越多資料以數位模式存在形成「數位證據」(Digital Evidence),鑑識科學中的「數位鑑識」(Digital Forensics)就越來越重要,法務部調查局就設有「資安鑑識實驗室」,除協助調查局外勤單位偵辦案件,進行電腦及相關數位證據之搜索、扣押、鑑識外,亦協助法院、檢察署辦理扣押電腦數位證據之擷取、搜尋、檔案復原、驗證、分析工作,並提供鑑識報告等。此外,也有民營業者如勤業眾信聯合會計師事務所設立「資安科技暨鑑識分析中心」提供數位鑑識的服務。

因數位證據性質上容易被重製與更改,數位鑑識非常重視對數位證據現狀的封存,即使為利於後續的調查分析而須重製一份數位證據,也須確保重製檔案與來源檔案的同一性,以免將來被爭執係栽贓或變造而不具「證據能力」(即可以作為證據的資格,至少必須具備真實性)。證據必須先具備證據能力,才有證明力(即對於待證事實證明其為真實的程度)的問題。再者,數位證據可能被還原,不像類比證據如文書,火化了就灰飛煙滅。因此,嫌犯雖刪除數位檔案,仍可能被專業的還原軟體救回來。此外,軌跡資料也屬於一種數位證據,鑑識專家會特別去搜尋本體資料的軌跡資料以掌握人事時地物的相關訊息。

司法實務上對於數位證據的調查常需數位鑑識專家的輔助才能克竟其功,例如聯發科前楊姓行銷副理離職後跳槽到競爭對手晨星半導體,涉嫌洩漏聯發科的營業秘密,經一審法院判決洩密有罪(參見台北地院99年訴字第356號刑事判決),該案調查程序即由刑事警察局將被告筆記型電腦與家中桌上型電腦中經刪除的檔案予以還原,進而發現其中有屬於聯發科營業秘密的資料,且藉由軌跡資料發現晨星員工以關鍵字搜尋該筆記型電腦中的聯發科檔案,乃順利證明洩密犯行。惟在另一案件,法院則認為檢方無法藉由某公司郵件伺服器的使用紀錄檔(即軌跡資料)證明被告曾於特定時段成功讀取某公司的電子郵件,故難認定構成犯罪(參見最高法院98年台上字第6731號刑事判決)。由上可知數位鑑識在資安犯罪調查的重要性。

「凡走過必留下痕跡」,在虛擬的數位世界裡更是如此。藉由數位鑑識的輔助,可追蹤數位證據的蛛絲馬跡,企業資安管理應善加利用。

<本文作者:陳佑寰,目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!