根據台灣業者互動資通所發布的【台灣千大企業行動即時通訊調查】顯示,當前的即時通訊軟體,在企業內部被使用最多的是Line與Skype,其比例達到六成。然而資安系統提供的即時通訊軟體訊息側錄,卻可能由老闆或資安系統管理員調閱記錄,導致無意或有意間侵犯同仁的隱私。在這之前,還有側錄IM訊息記錄這件事的合法性也要先行克服,例如規範公用、私人帳號分開,公務裝置不得處理私人事務等。因即時通訊記錄的特性,可能直接牽涉不知情的第三方;其爭議性遠比其他電腦記錄來的大,而且可能導致嚴重法律問題。
IM記錄隱私問題
即時通訊記錄的問題,可能涉及個人聊天內容,如對親朋好友之間談話、家人討論事宜或其他第三方隱私…等。倘若同仁個人私事無故被不當洩漏,對當事人造成不必要的傷害,也會衍生出同仁對公司侵犯個人隱私的疑慮。所以在調閱相關記錄時,最重要的莫過於取得合法授權,在適當範圍內進行調查,以避免違背法規道德正當性。
X-FORT提供角色分配分權設定功能
在系統管理者設計了角色分配,除了系統管理者角色帳號之外,也能指定部門主管、稽核人員(如法務)與自訂義的角色帳號,並賦予適當權限、管轄範圍等,以對應實際工作執行需要。
角色權限組合範例如下
- 系統管理員:X-FORT系統最大權限管理者,可賦予其他管理者角色與權限,規範管理範圍。
- 系統稽核員:查詢記錄及審視權限內容,但不能變更任何記錄與設定。其他角色帳號在進行檢閱,如即時通訊、郵件…等記錄時,需稽核人員驗證確認後才能檢閱其內容。
- 群組管理員(部門主管):檢視管轄範圍內的記錄與政策;審核組織成員的線上申請臨時開放部分控管。
- 功能性管理員:依功能模組指定管理項目,例如盤點人員,僅授予軟硬體資產模組實施盤點,而不涉及其他安全政策的管理。
- 自定義的角色帳號:可自訂管轄範圍、記錄類型、組織人員,如特定身分同仁:資安主管、專案人員、事件調查員等。依公司指派的職權,取得資安系統功能權限進行操作、調閱資料。
調閱不同的記錄,可指定不同的角色來進行。在一般情況下,可能會由資安人員或CISO查閱一般記錄,如檔案寫出記錄、傳輸檔案記錄、列印紙張數量是否有異常;但若發生資料外洩事件時,就應該由被授權的指定人員,在稽核監督下進行記錄調閱。但對IM對話記錄,這樣做是不夠的,必須取得調查委員會適法授權。
工具與制度的相輔相成
當公司面對已發生疑似外洩的資安事件,處理流程建議招集相關的跨部門主管、法務人員、稽核人員等成立事件調查委員會,進行內部調查。經由相關成員開會討論決議,並授予調查人員可執行工作內容:
- 指定調查對象範圍:盡可能縮小牽涉的部門、人員。
- 調查的記錄類型:各類型記錄牽涉的敏感度不一,無關的記錄類型,不應被調閱。
- 對記錄或系統可執行的操作:限制調查人員記錄的處置,例如限制其轉存、另存、匯出;防止刪除、破壞記錄。
取得委員會正式決議授權之後,由指派的事件調查員會同相關部門主管,調閱被授權範圍內的電腦操作行為記錄。若有必要調閱有關即時通訊軟體記錄、郵件寄收發記錄時,除了確認是在授權範圍內,應會同稽核人員、法務人員協同進行記錄查詢。因應這樣的需求,在挑選引進資安系統時,就須將建立角色、帳號權限的分權視為評估重點。否則就算有完善的調查SOP制度,也有可能在一開始時就存在記錄缺漏不足缺陷;又或者調查人員或系統管理員因系統分權機制設計不良,私相授受自己關係良好的對象,事先讓對方知情而有所防備。
調閱記錄需取得公司授權
最重要的是在調閱相關電腦行為記錄過程中,尤其以可能侵犯他人隱私的記錄更需注意,這類的記錄調閱都必須經過調查委員會的授權後才能進行。這代表由公司同意,且授權相關人員進行必要的記錄調閱,調閱的內容亦須保密。除了合法合規的確保,進而也防止了其他系統管理員、部門主管在沒有正當理由下,私下查閱記錄而侵犯他人隱私。