十八世紀工業社會興起,十九世紀末,各國在專利、商標、智財、營業秘密的保護,以巴黎公約做為共同遵守的源頭,公約內容至二十世紀臻於完善,若企業有違反公約,諸如商標侵權、盜用商業秘密、虛假廣告、誘餌和轉換策略、未經授權的替換、謠言散播、低於成本的銷售等等行為,則被認定是不正當競爭。公約之外,會再由各個國家在本國制訂法律規範,我們國內分別制定的有專利法、商標法、著作權法、營業秘密法等進行對應,在日本則制定不正競爭防止法來統括。在資訊化時代,大多數的營業秘密以電子檔的形式存在著,舉凡研發文件、核心技術、機密設計圖檔、客戶名單、新產品設計圖…等,尋求能夠落實保護營業秘密的資安機制,是近幾年來各界高度關心的議題。
營業秘密(機敏資料)所面臨的重要課題,包含:
- 駭客把偷走的機敏資料,放到暗網兜售
- 員工帶槍投靠敵營
- 員工在家工作(WFH),檔案上傳到雲端分享,可能不慎造成資料外洩的風險
- 資訊單位備份檔案伺服器或員工電腦裡的資料檔案,事涉敏感,希望IT人員無權讀取內容
- 主管機關指引保護資料對策,需要有實際落實執行的方案
營業秘密相關法規或指引有哪些?
- 營業秘密法 第2條
本法所稱營業秘密,係指方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊,而符合左列要件者:
一、非一般涉及該類資訊之人所知者。
二、因其秘密性而具有實際或潛在之經濟價值者。
三、所有人已採取合理之保密措施者。 - 證交所上市上櫃公司資通安全管控指引
第2條,”依公司業務考量,評估需保密或具敏感性之重要資料,如涉及營業秘密資料或個人資料等。”
第19條,”針對機敏性資料之處理及儲存建立適當之防護措施,如:實體隔離、專用電腦作業環境、存取權限、資料加密 …”。 - 智慧財產局「營業秘密保護實務教戰手冊」2.0指引
「所有人所採取之保密措施必須「有效」,方能維護其資訊之秘密性,惟並不要求須達「滴水不漏」之程度,只需所有人按其人力、財力,依其資訊性質,以社會通常所可能之方法或技術..予以控管,而能達到保密之目的」 - 技服中心指引
對應機敏資料防護,提出“勒索軟體攻擊預防措施2.b”,「加密重要或敏感資料:應對重要或敏感資料進行加密,如果資料被竊取,可以使攻擊者難以處理這些資料,另外,某些勒索軟體僅對常用文件類型(例如圖檔和文檔)起作用,則加密還可以防止它們檢測到文件。」
營業秘密法裡面所謂「合理保密措施」,常見於法院判決文書的陳述內容:”營業秘密所有人所採取之保密措施,並不要求須達「滴水不漏」程度,只需所有人按其人力、財力,依其資訊性質,以社會通常所可能之方法或技術,將不被該專業領域知悉之情報資訊,以不易被任意接觸之方式予以控管,而能達到保密之目的,即符合「合理保密措施」之要求。”
營業秘密保護的合理保密措施,要有一套做法,資安主管機關或專家普遍提供的指引,包含以下重要項目:制訂政策、盤點機密資訊且分類分級標示、簽訂智財歸屬及保密合約、實施資安管控、保存記錄與事件警示、稽核、教育訓練。就盤點與分類的部分,在資訊化的社會,電子檔形式的機敏資料,需借助資安技術來做到自動盤點、分類,再根據機密或極機密的這類檔案,按照預先設定好的政策,加以適度加密保護。
需要內外一體適用的防禦機制
機敏資料保護,不能只從防止內部竊取資料的角度思考,也要同時考慮如何防止駭客竊取資料。加上針對性攻擊,問題本質已從會不會被攻擊,變成何時會被攻擊,若被攻破之時能在多快時間內控制損害且復原,這就是資安韌性。因此過往的防火牆、出口端防外洩對策雖仍是必要措施,但須在保護的最小單位:檔案上增加保護措施。例如檔案加密,對內即為直接的機敏資料識別及保護宣示,讓員工清楚公司的機密範圍及保護措施,對外即便駭客取得加密檔案也無法解讀內容,不必擔心資料外洩。
遠距工作面對傳輸的資料曝險威脅多樣化 需要從源頭就加密保護
員工WFH(Work From Home,在家上班),電腦暴露在被駭的風險更高,尤其WFH更倚賴雲端分享檔案,而雲端更讓檔案脫離企業的管控,以往資料防外洩,往往於檔案準備離開公司時才開始保護,例如內容掃描、出口端管制等,但考慮到遠距工作,可能採用的各種即時通訊、會議軟體、Webmail、雲端服務不勝枚舉,駭客不會等檔案離開公司才開始竊取,因此從檔案產生、落地的當下就加密保護,才是有效的保護。
檔案加密是個不可能任務?
上市上櫃公司資通安全管控指引,第19條談到的資料加密,或技服中心指引提出”應對重要或敏感資料進行加密資料進行加密”。 檔案加解密,最常見的做法,對Word, Excel, PowerPoint檔案設定密碼,或將多個各種格式檔案Zip且加密,進行傳遞。密碼易外洩,也容易忘記,並且,每個檔案分別加密很費工,每個檔案也要分別輸入密碼才能打開,久了,就會覺得很麻煩。人員離職後,還必需記得將密碼全數更換,這根本是不可能的任務。這個加密方式,雖呈現善盡保護機敏資料的做為,但是在實務上,很難有效落實。
通常企業尋求檔案加密方案時候,有個迷思是直接評估文件版權管理(DRM)系統,這類的系統,在導入的購買成本、人力成本、時間成本方面,十分高昂,且文管人員具完整權限,其他人員多數是給予viewer(僅有讀取權限),是很嚴謹沒錯,但由於系統複雜度高,經常發生AP支援或OS支援的問題,只要BUG或相容性問題發生,導致使用者工作停擺,讓IT人員疲於奔命,並承受必需快速排除問題的巨大壓力,大家的任務落入”不可能”的境地。若是希望防範外部駭客竊取,則是要想如何能給予員工方便簡單,不影響工作,且具有保護效果的檔案加解密技術解決方案,讓不可能轉變為可能。
面對無差別的竊取資料 加密新思維
內容辨識,可精準從檔案內容中識別出機敏資料(例如專案關鍵字、個資),標示出需要保護的檔案,但其他檔案不代表可以因非機密、不影響公司營運而不納入保護,因駭客是無差別的竊取資料。只要駭客能證明是公司內部資料,哪怕只是一般會議記錄,就能讓企業上新聞,造成商譽的損失。另外,企業內通常也有供應鏈及客戶的資料,即便非企業核心競爭力,但只要客戶的資料外洩,就足以動搖供應鏈對企業下單信心,嚴重影響商機。因此並非極機密的資料才需要保護,而是內部資料也需要納入保護,而機密資料更需要特別保護,例如加密之餘,進一步限制能存取的人員。因此,如何將日常作業所需各種檔案加密,不影響使用者日常操作,且能支援各種通用及專業應用軟體就變得至關重要。
簡單不影響工作 但又達到有效保護
保護營業秘密的解決方案,成功的關鍵在於簡單易用又達到有效保護。根據使用者Login的身分採SSO(single sign on),讓身分對的人員,可以打開所屬的加密檔案,不論Word, Excel, PowerPoint, CAD/CAM, 美術設計檔案等等,免除前述的輸入密碼、保管密碼、變更密碼的障礙。
能夠讓離職人員的檔案,在離職後該員就無法解開。檔案在儲存狀態(at rest),被高強度的密鑰加密保護,不論是被駭客竊取或有心人拷貝,都無法解開。其他需要考量的因素包含:市面上所有Office軟體、CAD/CAM軟體、美工繪圖軟體等專業軟體,所有檔案都可以進行加密,而且都可以依照原有的操作習慣開啟使用。並且,要能夠針對存入特定資料夾進行自動加密、可大量批次加密檔案,提升使用者對於文件加密技術的接受度;結合DLP政策保護,保留詳細的操作記錄;容易導入與教育訓練。