文 / 精品科技 資訊安全顧問兼資安部經理 / 陳伯榆
數位舉證這是一個十分嚴肅的課題,因為當企業管理必須採取相關的程序與手段,必有不得不的原因與理由。通常必須假設需要承受冗長法律訴訟的程序,才能有效解決企業「不得不的選擇」。所以相關的準備必須是有效且無爭議的證據,才能在法庭攻防上,獲得法官信賴與採納。筆者想從兩個方面分析,首先是IT 技術層面的主觀舉證,其次是施作程序與管轄地域非技術面的客觀舉證,來討論如何讓IT 相關記錄可以達成舉證效益的目的。
從例子來解讀證據主客觀要素
許多企業建置DLP 或是DRM 相關機制,正是為了企業權益所搭建的技術防線,這一道防線就是為保護企業生存利益的重要設計。就好比一棟蓋好的大樓,必須在自己的樓層門戶,安置上門鎖或是監視器CCTV。這門鎖與CCTV 就是一道防線,來宣告「疆界」領域。IT 的相關資訊安全技術設計,也是這樣的概念,筆者把相關技術防護當成「IT 技術層面」的主觀要素。
當有了門禁與CCTV,可是下班後卻沒有上鎖,或是沒有通知落實最後離開的員工,將機制設定啟動,而警衛也沒有驗證監視與警示,當然這樣的防護效果將會大打折扣,於是發生了竊盜事件,進而尋求警方的蒐證處理,調閱CCTV,查門禁指紋⋯等。
- 「下班後卻沒有上鎖」就是像是有了IT 防護設備,卻沒將防護政策有效Enable 一樣,相關證據力就會不足而破碎,無法有效採納。
- 「沒有通知落實」就像公司執行政策,沒有政策宣導,進而讓員工簽署落實,並說明相關獎懲設計,這樣也易於出現損害公司制度的事件發生。
- 「警衛沒有定時巡檢與回報驗證」,就像企業缺乏定期稽核程序與問題反饋的手段,更易讓相關風險發生率提高。
- 「尋求警方蒐證」處理,就仰賴更專業第三方追蹤處理。
這些非技術類作為,筆者姑且稱為一種客觀要素。這些主客觀要素,衍生出「舉證」作為上必須具備的要件。
我們拉回到技術面的主觀要素深入分析,任何的證據都必須具備某些特性,以及輔助性的機制,才能彰顯證據的信度與效度。這裡的信度所指的就是證據的一致性或穩定性,誤差越小,信度越高。在效度上,把原有測量工具( 例如:DLP 記錄) 和其他可測量( 防火牆記錄、系統或檔案主機存取權限記錄,甚至檔案編修記錄⋯) 的工具,精算工具記錄之間的相關性。換言之需要不同類型證據交叉比對,這樣的證據力將更容易被法官採納。除此之外,每個電子檔案都有其身分時間軌跡,這是非一般人可以捏造的。簡單講,凡走過必留痕跡,就像CSI 影集中,所謂科技舉證的必然性一樣。
證據力不是0與1的量尺,是程度比例的差異
企業又怎樣看到這樣的問題,即便企業同意及信任,內部員工手持裝置可以接取公司電腦並讀取檔案,並不代表資料不會外洩,而且即便外洩也很難舉證是員工個人蓄意所為還是外力入侵竊取所致。對於行動裝置的管理,必須要有更聰明的做法,而且必須儘早處理與施行。伴隨著相關風險快速成長,企業所受的損失也越加嚴重。此外新的通訊協定也正在發展,例如NFC 的檔案交換應用。企業必須有所準備。另一方面,筆者延續前一章節所提,這些手機APP 都尚未經過安全驗證與分析,即便在手機端安裝建構MDM、MEM⋯等安全機制,基本上很難防禦,從手機內部漏洞缺口所帶來的風險,更何況BYOD( 不像JOD 易於掌控) 很容易觸及到員工個人隱私問題,加深處理的難度。
從行動裝置與企業IT連結的通訊協定下手
接著從證據本身應具備的機密性(Confidentiality)、完整性(Integrity)、鑑別性 (Authenticity)、不可否認性 (Non-repudiation) 四個特性,來強固證據的本身所具備的價值。而這四個特性,不是0與1 的選擇,更需兼具解釋力的價值。換言之就是2% 證據解釋力v.s. 98% 證據解釋力的價值,也是相關IT 證據訴訟的重要指標。延續第二章範例說明到第三章的證據力,可以凸顯出一個重要的特性,不該把相關資安產品購入當成保證,而是在購入相關資安產品後,所設計政策與啟用後記錄之強度,才是證據攻防重要保證。
1. 機密性(Confidentiality)
相關證據與記錄,不讓未被授權之使用者獲得該資料。確保資訊的存取須經過授權。相關記錄獲得管控,不是人人可得。以DLP 與DRM 後端管理系統為例,管理系統,必須確認相關使用權限、政策設定以及管理者,在經企業高層授權下進行管理。而相關DLP 與DRM 系統所搭建資料庫系統,也必須在授權下才能存取。換言之,受到DLP 與DRM 稽核的對象,無權限能力可使用存取DLP 與DRM 管理系統與資料庫,就具備機密性(Confidentiality) 價值。
如果要企業要更深化機密性價值,企業更可以搭建(1) 資料庫稽核系統,更是一種技術手段。配合(2) CCTV 監控進行,且系統不具備遠端管理、(3) 機房門禁記錄、(4) 搭配AD 建立登入出主機記錄⋯等技術設計,透過證據間交叉證明,都可達成機密性價值與強度。
2. 完整性(Integrity)
完整性又稱真確性,主要的目的在確保資料的完整性和原始性,也就是保證資料在傳送的過程中不被竄改。所謂的「原始性」是指資料保有資料來源的最原始狀態,不會因為傳遞過程而被他人竄改資料。確保資訊的內容正確且完整。
這裡的重點放在DLP 或DRM 資料庫所存入之記記錄,須具備「不被竄改」之正確性。誠如前述可以交叉比對的記錄,達到「不被竄改」的解釋能力,例如:網路存取、主機存取、以及資料庫存取,都具備一定的安全保護,或是透過軌跡記記錄交叉比對。畢竟任何一位高段駭客,在消滅軌跡記錄都很難可以盡善盡美,一般的員工則更難竄改全部記錄。
通常進行資訊鑑識(Forensics) 過程,不會依賴單一記錄證明完整性,輔以相關軌跡記記錄舉證。因為「入侵竄改者」是否具備此行為能力以及是否具備完全抹去軌跡記記錄( 包含:資料庫記錄、主機登入記錄⋯等),都可以鑑別出資料庫記錄之完整性。 如果資料庫本身,具備資料記錄與欄位橫直向加密比對防竄改機制,則更具證據解釋力。在資料庫亦可以搭配完整的(Full DB Backup) 異地或加密備份,就可以具備鑑識時間序列的完整性,證明資料庫未受到竄改,這也是沒有相關資料庫稽核工具下的變通做法。
3. 鑑別性 (Authenticity)
鑑別性是指鑑別使用者的真正身份,避免被他人冒用或偽裝身份而進行交易。這項特性,通常是被告最常拿來辯駁的項目,用此特性來迴避自己或提出可能他人所為的特性。
搭配企業AD 管控,讓每部電腦使用的登入登出記錄都可檢核其身分。但是不可否認是否有人冒用或是竊取他人AD 身分及密碼,登入其他電腦系統,確實有此機會。可以透過更強大登入驗證技術,例如:指紋、虹膜、靜脈掌紋⋯等生理驗證技術( 要看企業對於這樣的投資的必要性而定),如果無法這樣落實,我們可以從公司人員資訊安全素養之養成,以及輔以不同辦公室區域門禁記錄與CCTV 監控記錄,來交叉比對,在身分的鑑別上有一定的解釋能力。
4. 不可否認性 (Non-repudiation)
不可否認性 (Non-repudiation) 如字面意義,主要是針對使用者所進行過的任何操作(operation)和行為(action),在事後不可否認自己未曾做過這些操作和行為。這與3.3 鑑別性 (Authenticity)息息相關。DLP 所記錄之相關軌跡記錄,伴隨著新興IT 技術的發展,傳統DLP 證據記錄必須迎上去,例如:具備處理新興雲端網路技術以及行動裝置的記錄能力,才能將DLP 證據力推向更高解釋能力,輔以Client 電腦桌面影像記錄、檔案操作記錄及備份機制、裝置及應用程式執行記錄⋯等,進一步與其他網路存取記錄或是防火牆記錄交叉比對,達到不可否認性。
客觀要素扮演最後論述的價值
1. 一個公正第三方取證機制
首先,筆者要提出一個重要的觀念,自己舉證是一個60 分的作法,透過司法機關舉證可能是90 分的效果,例如:法務部調查局、刑事局偵九隊、電信警察隊⋯等IT 司法警察的查調,並將上述證據一一陳述展示提供,由第三方司法單位提出證據,在法律訴訟上更具效力。就以HTC 控告員工外洩資料為例,有好的證據必須輔以好的取證程序。
2. 好的證據依賴在好的制度
上述的作為必須建立在一個完善的DLP 政策之下,而且這些政策必須是落實執行,換言之光有技術主觀環境,還是需要政策有效落實。畢竟IT 人員忙碌,自己球員兼裁判並非好辦法,透過稽核室來彌補強化證據的信效度,才是一個好方法。這樣IT 人員亦可在管控制度下依規定進行日常作業,減少爭議的發生。而定期宣導,甚至DLP 與DRM 導入時,進行行政程序相關作為,讓每個個體都簽核知曉公司政策,亦可以有效抑制相關資訊安全風險的發生,並降低興訟的機會。
3. 別忘記證據的合法性
在客觀要素中,有個不被提起的議題,就是「證據」本是否違法的議題,在企業內部相關監控機制,必須要有一個正式的公告與宣導,並在法務與律師的梳理下完成相關政策的執行,並輔以員工條款的簽署( 建議新進人員到職就需要簽署相關公約),達成「證據」的環境效力。
舉例來說,有些住家會把監視器對著走廊、電梯門、或是對門,在相關判例上基本上都是侵犯隱私權的作法,容易引起不必要的問題。誠如上述,當設置的DLP 系統必須輔以相關法務或律師審視後正式公告,以及員工條款的簽署,達到證據力合法性的充分條件,因為相關公告一定會服殷於營業秘密法、個資法、⋯等相關法律條文約束下進行。
4. 跨國爭議的處理
地域治權問題是另一個衍生性客觀條件,在台灣有其相關法律的約束、在美國或是日本亦然,在中國應有類似文明法律的條件,但是畢竟是地域性差異,相關跨國爭議與訴訟,必須要當地法律專家律師,搭配當地第三方有效取證單位進行更為合宜,減少處理上的難度。