跨國企業重金延攬高科技製造業人才與竊取營業秘密的案件可謂層出不窮。日前台積電爆發準備離職的工程師,私自列印28奈米製程相關文件,準備跳槽到對岸同業,最終依違反營業秘密法與背信罪嫌起訴。從新聞媒體的報導不難發現,類似的犯罪場景在高科技製造業不斷地發生,儘管2013年開始實施的營業秘密法修正案已加重刑期與罰金,仍無法遏止在錢財利誘下鋌而走險的事件。
就營業秘密法來看,依據該法第二條定義,「係指方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊,而符合左列要件者:1.非一般涉及該類資訊之人所知者;2.因其秘密性而具有實際或潛在之經濟價值者;3.所有人已採取合理之保密措施者。」也就是說,針對符合營業秘密定義的資料,勢必具備秘密性,僅為少數人得知,並且必須已建立合理的保護措施。
台灣微軟亞太區技術支援中心資訊安全暨風險管理經理林宏嘉從實際參與的事件處理專案中觀察,營業秘密資料實屬高科技製造業知識經濟命脈,經過多年來資安市場教育,多數企業會把資料外洩事件視為資安問題,因此導入建置最先進的DLP、SIEM、加密等技術建構保護措施,但是卻忽略了人的因素。實際上發生的營業秘密文件外洩事件,大多原就擁有合法存取權限,無法全數仰賴資安控管政策來保護,必須輔以犯罪預防的角度來思考,增加阻力、降低誘因,以防止蓄意違反公司制度的惡意行為。
資料保護強度 端賴營運管理階層認知
以產業型態來看,台灣為數眾多的高科技製造始終是國家重點推動創新的要項之一,但中華數位企業資料保護研究小組客戶關係經理梁光宇觀察,多數的IT部門仍舊為成本中心制,也就是所有花費都視為支出,並非為投資項目,因此對於資料外洩風險控管方面的投入程度,優先順序始終無法提高。
即便是工業4.0正在驅動製造業朝向數位化轉型,以因應未來物聯網、機器人等新興應用,在尚未達到經濟規模之前,多數業主仍然認為資料外洩的威脅對公司營運影響不大,儘管IT部門理解風險之所在,擬定全面性防護策略,也通常無法得到營運高層的認同。
 |
| ▲ Forcepoint日前發布「在行為、意圖與營業秘密的交集中『人』是重點」的調查報告,80%的受訪者表示掌握員工與企業智慧財產及其他營業秘密資料的互動操作行為很重要,只有32%受訪者能做到;78%的受訪者更認為,掌握員工的意圖很重要,但只有28%受訪者表示有能力做到。(資料來源:Forcepoint) |
「以正在發展中的物聯網為例,初期關注的焦點,主要在於盡快推出產品以便找到商業模式,安全性通常為次要。問題是,安全性與品質兩者之間實質上環環相扣,產品品質並非機能性的完善而已,同時必須涵蓋安全性。可惜台灣僅有少數企業具備此思維模式。」梁光宇說。
因此,中華數位企業資料保護研究小組專案顧問吳毅勛強調,資料外洩防護或營業秘密保護法,屬於管理層面的問題,取決於營運管理階層的認知;掌握決策權的執行長、財務長、各事業單位處長等主管,對於資料安全性的定義,將決定該企業投入建立合理保護措施的強度。
大膽假設、小心求證 勿合理化正常事件
在高科技製造業中的標竿企業,其實近年來在資安市場教育之下,工作流程中已建置資料外洩保護措施,即自認為安全等級已經足以掌握所有威脅行徑,不致發生重大資安事故。林宏嘉觀察,這種現象不只在台灣,全球皆然。
他以近期內協助處理營業秘密竊取的案件為例,經由彙整與統計分析保護措施所產生的Log,並未發現告警或違反政策的行為,於是管理者即深信保護措施為有效。「但相同的分析報告,我是以數據背後的故事解讀,並且不預設立場,反而找到問題跡象。例如,我從行為動機開始解讀,在Log分析報告中,關鍵系統出現連續幾天,在相同時間發生相同的合法行為,會議中幾十個相關人員卻無法說明執行內容。」
在多數的事件案例中,解析Log資訊即可找到蛛絲馬跡,但通常未觸發告警的操作行為,理所當然的被視為正常。若在事發當下即有人對Log產生的合法資訊提出質疑,就得以在釀成事故前及時阻止。其實做壞事的人,永遠比做防護者更加清楚工作流程,且更為細心,因此IT部門或資安人員,必須大膽假設、小心求證,即便是正常事件也須持保留態度,探究事實真相,儘管不容易實踐,但如此的調整,才能判斷保護措施的執行動作是否有效。
UEBA掌握合法行為 判斷意圖善惡
就解決方案面來看資料保護,Forcepoint北亞區技術總監莊添發指出,不僅可基於網路安全、端點防護建立控管措施,如今解決方案設計更進一步朝向以「人」的行為資訊,來判斷可能的「意圖」。事實上,依據人的行為模式建立防護措施,既抽象也不易實作,須從邏輯策略來協助判斷。
莊添發進一步說明,人的意圖,會隨著時間、地點的不同,反映在執行的操作行為。例如,研發團隊的員工每天讀取產品設計資料,屬於正常行為,但是在提出辭呈後,存取行為變得多元,搜索更多以往研發資料,雖屬於合法行為,但顯然意圖已經改變。如何找到諸如此類可能為惡意的意圖,如今可說是資料保護重要的關鍵。
針對意圖為惡意,最常見的莫過於疏忽所造成,甚至是業務行為本身就不安全。莊添發舉例,人資部門每個月要執行薪資分析時,會先從FTP伺服器下載本月同仁出勤記錄與薪酬資料,此工作流程在五年之後才發現,FTP伺服器一直為匿名登入,原本人資部門視為正常的工作流程就已存在不安全性。
儘管高科技製造業長期以來導入許多技術工具嚴密保護營業秘密,仍舊防不勝防,再加上行動化、雲端服務應用盛行,勢必需要持續地檢視工作流程中是否存在遺漏的控制環節,而使用者與實體之間的行為分析(UEBA)機制,正是為了提升效率而設計,藉此重新檢視現有的防禦政策是否足夠。畢竟管理措施本就是持續改善的循環,須要不斷地與時俱進,更精準、有效地保護核心資料。