FineArt News

買資安產品 = 買保險?

現階段企業的資訊安全可以分為兩種,一種是防禦外部入侵的資安系統,一種是防止內部資料外洩的資安系統,本文所提到的資安產品將會著重在「防止內部資料外洩」為主。

買資安產品等於買保險嗎?這就要從買保險的用意講起,如果以人身保險來說,我們會買商業的人身保險,是因為我們無法預測未來是否會發生意外或生大病,所以我們會買保險。但是保險所繳的費用有可能是拿不回來的,如果我們都沒發生任何意外或生大病的話,那麼保險就是一定得要「被保險人」本身發生了意外或生病才可拿到相關的理賠費用。當然我們都不希望發生這些事情,只是我們不是神,買保險只是以防萬一而已,也不是說我買了保險就不會發生意外或生病,可以為所欲為的不注意交通安全,每天亂吃垃圾食物導致身體病變,正常來說保險也可能讓我們比較注意平常的生活安全及飲食,儘量讓我們不會發生保險所保之事。

同樣的情境應用到企業資安產品上面是否也是一樣?企業總是有許多營業秘密、客戶個資等等的機密資料需要保護,而且這些資料大部分都已經電子化了,即使請客戶填寫個人資料後,最後應該也都會被輸入CRM等資訊系統裡,很多的設計圖或者機器參數等等營業秘密資料原始的來源就是電子檔,經營者為了保護這些機密不被隨意的外洩,因此需要購買「防止內部資料外洩」的資安產品來杜絕這種情事,所以我認為企業購買資安產品不完全等於買保險,因為經營者實際上是完全不希望機密資料外洩,算是一種防範未然的舉動。

除了防止營業秘密外洩外,為了因應台灣個資法某些行業如:銀行業、百貨業、網路平台等行業也須加以保護龐大的客戶個人資料,更甚者2018年5月25日歐盟實行GDPR也就是歐盟版的個資法,公司如果與歐洲做生意且有留存歐盟成員國民眾的個人資料,那麼最好採取適當的防範措施,無論是台灣個資法或者GDPR一旦客戶資料外洩導致當事人權益受損,無論是商譽還是金錢,對公司的影響是頗大的。

因此對於資安產品我認為它是屬於「警衛」的角色,以精品科技的X-FORT資安產品來說,在用戶端安裝了背景防護程式,由管理員制定相關政策,比如隨身碟控管,X-FORT就可達到「禁止使用」、「寫出加密」、「寫出審核」、「唯讀」…等多種管制功能,當使用者嘗試透過隨身碟這個管道把檔案攜出是會有一定的困難,至少寫出檔案到隨身碟也要經過主管審核,X-FORT因人制宜不同的使用者有不同的權限,

  • 有的人可以隨時寫出檔案到隨身碟,
  • 有的人完全禁止寫出檔案到隨身碟,
  • 有的可以使用隨身碟,但是只能把隨身碟檔案複製到電腦,電腦檔案無法寫到隨身碟,

這就像門口警衛一樣,哪些人可出門那些人不可出門,不該出去的就會被警衛攔下無法出去,至於寫出檔案記錄則可以視為監視器,記錄所有檔案的寫出資料日後若有資安事件可由「寫出記錄」來調查洩密相關記錄。

如果認為上述的警衛與監視系統對於重要資產(營業秘密)的保護還不足,一般的做法就是再加買保險箱把重要的資產放到裡面,就如同X-FORT的SVS模組可以把電腦裡面重要的資料放到SVS碟裡,而且僅允許信任的軟體才能執行SVS碟裡面的檔案,SVS碟裡面的檔案也需有授權才能把檔案取出,如此除了可以防止檔案被隨意攜出,也可達到機密檔被駭客偷取。

企業在導入資安產品時可用替房子加裝安全系統的概念來執行,當我們把想要防護的出入口聘請警衛看守,窗戶加上鐵窗以及想要監視的地點安裝監視器,重要的財物放到保險箱,就如同電腦上安裝的資安系統一樣,每個有可能造成外洩的管道都被管制與監視,重要的機密檔案存放在SVS碟裡,這樣就已達到事前防範、平日稽核,萬一真的發生資安事件,也有相關的記錄可供調閱找出外洩人及物,因此購買資安產品不算買保險,而是真正地建立起公司的防洩密措施,因為企業已找出內部可能會外洩的管道並加以防護,讓經由內部人員造成洩密的事件能夠降到最低。