2018 Openfind Solution Day:本土協作雲平台助攻企業遵循GDPR 邁向數位轉型

談到企業數位轉型,總是外國廠商主導的市場。不過台灣本土廠商網擎資訊卻更貼近本地需求、更具成本效益的定位,成功在協作雲平台上打下一片天。

1998年成立的網擎資訊,很早就以郵件歸檔、郵件安全產品為核心站穩市場。除了在政府市場中拿下42%的市佔,還進軍國際,取得150多個日本公部門訂單,現在版圖也延伸到東南亞及非洲奈及利亞、南非等地。此外,網擎資訊也協助國內52家金融業者強化郵件稽核、加密、歸檔/備援、個資盤點等,以滿足金管會拉高資通安全要求。優異的實力讓網擎成為經濟部中小企業處小巨人獎20屆以來唯一一家軟體公司獲獎,也獲得國際分析機構Gartner認同,目前正在評估郵件歸檔列入企業資訊歸檔的「神奇象限」(Magic Quadrant)中。

網擎資訊執行長廖長健

以安全智慧溝通協作雲平台協助企業數位轉型

網擎資訊以巨量搜尋引擎為核心向郵件管理平台、雲端服務擴展,並完全貼近本地客戶需求角度回應需求。未來產品策略上,網擎首先將以雲端為中心開拓新產品,提供雲代管、混合雲等部署選擇、支援公有IaaS / PaaS,並以頂級網路及硬體基礎架構,使產品提升到CSP (Cloud Service Provider) 等級,現在每天有上百萬人使用網擎雲端郵件服務。

其次,由於100%自主開發,使網擎資訊得以快速因應各地法規遵循需求而生的功能規格,滿足不同目標市場的郵件資安新議題、新需求。以台灣為例,網擎連續三年通過了政府的弱點掃瞄及雲端資安驗測,得以名列政府共同供應契約的資格廠商。目前網擎雲端郵件產品具備SLA 99.95%、資料中心設於台灣,可輕易與企業資安監控中心(SOC)無痛整合,符合政府資安稽核條件。藉由整合郵件雲歸檔備援,與內部(防資料外洩、權限控管、加密等)、外部(APT偵測、沙箱)安全方案,以單一平台(One Platform)協助企業做好資安規劃,防禦網路詐騙(14.4%)、個資外洩(18.5%)及帳號盜用(44.4%)三大資安問題,且成功因應金管會、國內資通安全管理法及歐盟GDPR法規遵循要求。

以郵件協同為核心,擴大即時通訊、雲端編輯及檔案分享,實現企業協同的One Platform

未來的個人及企業溝通不會再以電子郵件為中心,而是跨桌機、筆電、手機/平板不同裝置,涵括電子郵件、即時通訊、內容平台的協同行為。因此,網擎的產品與服務旨在打造溝通為基礎的協作平台,方便企業檔案分享、即時傳訊及線上共同編輯,提升業務生產力。同時它還提供客製化及支援企業營運系統,例如可稽核銀行專屬的帳號避免個資外洩,介接HR系統連動帳號,也曾經幫客戶快速調閱訴訟所需歷史郵件,或為物流公司整合貨物追蹤系統。

網擎主打高規格、中價格的定價策略,可用競爭對手七成硬體成本達成相同營運需求。在今年的一個APT沙箱測試案件中,網擎的惡意程式過濾效果為國際大廠產品的3 倍,但價格只有1/3。同時它也能支援HA架構、單一網域多主機、自動切換AS主機,可因應企業的預算及作業考量,提供私有、公有、混合雲不同部署選擇的彈性。

網擎將以雲端平台和安全技術為基礎,打造安全智慧溝通協作平台

網擎擘畫的產品藍圖很清楚:以檔案分享、溝通協助及即時通訊核心功能,前後台提供共同稽核防護及歸檔查詢,在雲端架構的共通基礎上提供跨平台存取的一致化體驗。現在網擎正積極研發人工智慧(AI)技術,以促使現有服務能力再升級,也讓網擎得以成為高整體擁有成本(TCO)的安全智慧溝通協作平台,協助企業在安全前提下,享受數位轉型的效益。

解決資訊不對稱是確保資訊安全的關鍵

現今企業花費愈來愈多的資安預算,卻也面臨空前嚴峻的網路安全挑戰,安全顧問公司戴夫寇爾則認為,解決資訊不對稱,才能確保企業網路的永續安全。

戴夫寇爾執行長翁浩正一語點破今天企業組織資安的問題,在於企業不是買的設備不夠多,而是防錯重點。就像一個國家大興土木建起高高的城牆,然而他們的敵人卻開起了飛機;如果不知道敵人的動機、資源或盤算,資安投資也可能枉費;反過來說,企業花了大筆經費強化網路防火牆,但卻忽略資安教育,致知資安意識薄弱的員工在公司下載盜版軟體或不小心點選到惡意連結造成感染。因此,企業和政府面臨危險來自資訊不對稱性。

戴夫寇爾執行長翁浩正

他指出,資訊不對稱性因攻擊方更大的攻擊規模、更低的技術門檻、更強運算能力及更刁鑽高明的攻擊手法而雪上加霜。今年三月全球最大開源程式碼社群網站Github遭遇1.35Tbps的分散式阻斷攻擊(distributed denial of service, DDoS),導致斷線5分鐘;3天後網路安全設備商Arbor Networks遭到更大的1.7Tbps DDoS攻擊。所有企業包括電信業在內,面臨TB等級的超大攻擊幾乎無一招架得住,但未來這類攻擊可能會愈來愈頻繁。其次,攻擊的技術門檻愈來愈低,原因並非天才駭客更多,而是網路公開販售攻擊工具以及代客攻擊服務,駭客不需強大技術即可買到攻擊武器,甚至可以花錢請人發動攻擊,因此攻擊門檻愈來愈低。

此外,更強大GPU加持的運算效能,使過去困難的密碼暴力破解也變得容易。以MD5演算法產生的8字元密碼為例,一名駭客若使用8張nVidia顯示卡組合的機器,破解常見的數字+英文字母大小寫的密碼組合只要18分12秒,而由所有ASCII可視字元組成的密碼,也只要9小時多即可破解成功。對駭客來說是報酬率極高的投資。「暗網」為代表的網路黑市,讓駭客可以取得各種漏洞、攻擊工具,以及各種攻擊情資資料庫(如可被攻擊的IP位址、外洩的帳號密碼或信用卡資訊),使駭客可組合各種漏洞和情境,以更刁鑽的手法達成滲透主目標的任務。

駭客往往會透過邊界防禦較為薄弱的管道,先入侵到企業內部系統後,再透過橫向移動的方式,竊取鎖定的重要資料

上述種種新趨勢也讓傳統安全防禦方法效果降低,必須有更新的防禦思維。首先,企業必須認清他們的對手不是單一駭客,而是整個網路黑市產業。這個「產業」的商業模式出售各種「客戶」需要的目標資訊,像是銷售個資、郵箱、信用卡號給詐騙集團、販賣帳密、個資資料庫、攻擊程式及情資給駭客組織。另一點很重要的是,駭客並不會攻擊企業部署防護最嚴密的地方,例如駭客不會浪費時間來強攻網路銀行,而是入侵網銀系統的測試網站,因為這裡往往疏於防護,之後再橫向移動入侵網路邊界。和戰場上一樣,資安防禦也要充份瞭解自己的弱點及敵軍的目的、動機,站在詐騙集團、駭客組織的角度來構想防禦策略,才能化解資訊不對稱的情勢。

這就是紅隊演練(red team assessment)的價值所在。和過去企業常採用的弱點掃瞄等自動化工具相比,以人類執行的紅隊演練更能模擬出駭客如何將漏洞組合利用。它又和滲透測試服務不同,紅隊演練不是著眼於漏洞,而是在不損及企業利益前提下,在有限時間內無所不用其極的方式入侵、攻擊各種可能的進入點,以達成企業指定的測試任務(如取得客戶資料)。它是從攻擊者角度來尋找所有可能的入侵途徑。簡單來說,它能彌補滲透測試的不足。

紅隊演練可以找到從各種管道而來的攻擊

在這樣攻擊等於營利的時代,戰場遠比企業想像得更大範圍,更難防禦,戰略思維比購買武器更重要,對擁有豐富機敏資訊的企業及政府單位來說,紅隊演練可協助盤點弱點、化解資訊不對稱,達到「知己知彼、百戰不克」的目標。

以ISO 27001為例說明法規遵循中的資安策略規劃

在資安策略的規劃中,法規遵循(Compliance)不是萬能,但是不遵循法規,就是萬萬不能。然而資安法規遵循牽涉相當專業,往往不是一家企業自己就做得來,往往也成為企業頗為頭痛的問題。

網擎資訊資深技術顧問張弘達首先指出法規遵循的重要性。國內一家知名銀行一年多前因為違反了美國的反洗錢法被罰1.8億美元。除了繳交罰金外,這家銀行還必須投入10億美元,配合美國方面強化洗錢防制。國內金管會追究其原因,這家銀行有多項行為不當。而其後果除了帳目上的損失外,這家公司面臨商譽損失才是更慘重的代價。

網擎資訊資深技術顧問張弘達

網擎資訊以ISO 27001(包括2005及2013年版)為例,說明資安法規遵循如何實作。

ISO 27001包含三種控制項目,分別是「法規遵循與適法性要求」、「資訊系統的稽核考量」與「安全政策與標準的遵循性和技術遵循性」,其下又分別有個別的控制措施。第一項「法規遵循與適法性要求」旨在降低公司單位違反法律的風險。它需要公司識別適用哪些法規,以我國為例,可能包括《個人資料保護法》、《營業秘密法》、歐盟今年5月上路的GDPR以及同時期國立法院三讀通過的《資通安全管理法》。

ISO 27001三大控制項目,各又有控制措施,確保企業組織做好資安管理

其次,組織紀錄保護要求企業確保資訊的完整性、不被竄改毀損及偽造、並能正確查找及匯出。營業秘密保護法所指的「秘密」是指具有經濟價值、具備秘密性的資料,企業如果動用本法保護時,必須舉證曾做過合理保密措施。此外,企業還需從設立專職人員、教育、流程及技術面著手,提供足夠的隱私及個資保護,並且採取妥善措施(如採取實體隔離、角色為基礎的申請流程及權限管控)防止資訊誤用。以郵件為例,從信件寄出前、寄出時到寄出後的不同階段,都應有相應的措施來確保資訊隱私與安全性,像是加密前檢查、加密傳送,以及寄出後的郵件歸檔。

網擎資訊的郵件服務從信件寄出前、寄出時到寄出後的不同階段,都有相應的措施來確保資訊隱私與安全性

第二個控制項目「資訊系統的稽核考量」談的是配合稽核工具的使用,以PDCA(規劃、執行、檢視、改善)的方法論,檢視並改善稽核成效,並分階段部署於整個組織,期使稽核對公司組織產生最大效益。最後一個控制項目:「安全政策與技術遵循」,要求定期審核安全政策與科技,確保資訊系統符合安全政策。總得來說,要能符合法規要求,企業的資安策略應能兼具技術能量和專業顧問,同時又有創新、應變、及客製化的特色。

那麼,做到法規遵循是否意謂著企業就可高枕無憂?這個問題就像制訂交通法規是不是就不會有交通問題,答案是否定的。然而確實的合規可大大減少企業內外部網路的安全問題。由ISO 27001的例子來看,「魔鬼藏在細節中」,法規遵循的作業項目千絲萬縷,不免令人挫折。然而促使企業將資安觀念內化成日常作業,才是立法規範的最終目的。

網擎資訊的企業管理郵件服務採取實體隔離架構,提供登入、送信及收信的安全作法,像是雙因子認證、異常登入監控、郵件不落地(即內容可供存取但不可下載)、圖片/加密稽核,以及防止APT及郵件詐騙等,為企業解決了大部份法規遵循要求。也就是說,適當選擇外部郵件夥伴,將可大幅減輕企業滿足法規遵循的作業負擔。

以ISO 27550落實GDPR的隱私工程要求

號稱最嚴格個資法的歐盟GDPR(General Data Protection Regulation)上路,企業也需開始評估如何藉由標準導入來滿足GDPR的要求。

歐盟GDPR已在今年5月25日正式生效。一如資安業者宣導的,並非只有設籍於歐洲的公司才受到限制,而是只要客戶中有歐盟公民的廠商皆會受影響,包括在歐盟地區有設點、有員工;只要有提供歐盟公民服務、有蒐集、處理和利用歐洲公民個資的台灣企業皆無法自外於GDPR的管理。有時關係甚至來自意想不到的地方;SGS台灣資訊治理部門經理何星翰舉例,外銷導向的台灣製造業近來經常被客戶問到他們提供的產品、關鍵元件是否符合隱私設計、隱私工程的概念,以及有沒有可能陷客戶於違反GDRP的風險?如果廠商說沒有,又要如何證明?

SGS台灣資訊治理部門經理何星翰

GDPR 首次將資料保護設計列為資料控管及處理者(Data Controller和Data Processor)的法定義務,明確提到產品和服務必須加入資料最小化和可使用擬匿名化等設計。這就涉及隱私設計或隱私工程(Privacy by Design/Privacy by Default)的概念。簡單來說,所有在歐盟提供的服務和產品,預設都必須能確保個人隱私,例如使用者可以要求Google搜尋服務刪除有關他/她的資料。根據GDPR資料保護原則,廠商必須在事先告知並獲得用戶明顯同意情況下,始得蒐集用戶個資,而且也僅可蒐集特定目的資料種類,不得毫無限制,之後也不能隨意用於其他目的。這些資料也僅得保存一段期限,超過期限的資料必須銷毀。此外,在保存期間,廠商更必須確保用戶個資的完整與機密性,不被他人存取、竄改或毀損。

但是對台灣企業而言,想要符合隱私工程其實有頗大挑戰。台灣歷來普遍沒有隱私設計、隱私工程的概念,目前市面上也缺乏相關訓練課程,自然也欠缺相關的人才。因此在產品製造上,隱私工程要做到什麼程度才能滿足GDPR的要求?企業可能會想問:有沒有一套制度化的最佳實作或是國際及產業標準?如果有標準可循,台灣企業就能對客戶明文證明自己產品符合GDPR的要求。

事實上,產業界已經有瞭解答。包含德國獨立資料保護中心組織(ULD)及美國國家標準與技術研究院(NIST) IR 8062標準的隱私保護精神的ISO 27550 Information technology – Security techniques – Privacy engineering之標準草案中,揭櫫「隱私工程活動」應涵蓋知識管理、風險管理、需求分析、架構設計等關鍵之系統開發流程,並需融入隱私工程六大特性,包括機密性(Confidentiality)、正確性(Integrity)、可用性(Availability)、不可連結性(Unlinkability)、透明性(Transparency)和可介入性(Intervenability)。

ISO 27550 包含的隱私工程六大特性,有助於GDRP的遵循

外部第三方驗證機構如SGS可針對管理流程面及產品技術面,分別提供流程稽核及技術檢驗。在企業一切都重新調整到位,這些第三方單位將能對產品及服務做ISO 27750的符合性宣告,而有利於客戶或供應商信任台灣廠商的Privacy by Design 成熟度及遵循性,已經滿足GDPR第25條的法規遵循要求。

ISO 27550 驗測流程包含流程稽核及技術檢驗兩個面向的檢驗

GDPR精神解析及法規遵循實作

歐盟隱私保護法GDPR(General Data Protection Regulation) 已在5月底上路。迄今或許仍然有許多國內企業一知半解。當然,如果沒有清楚的觀念,就會影響GDPR的法規遵循作業。

網擎資訊行銷副總李孟秋很簡單、扼要的方式說明GDPR的精神及管理範疇。GDPR規範的是企業對個人(B2C)的資料蒐集行為,不只是在歐洲有分支機構、營運據點的公司需要注意,其他地區的企業如果有牽涉歐盟公民資料跨境傳輸及處理、分析,例如委外列印帳單業者,也會受到GDPR的規範。它也規範資料的控制者(Controller)及處理者(Processor)的義務。

網擎資訊行銷副總李孟秋

GDPR對個資的認定相當寬廣。除了傳統上的姓名、身份證字號外,連網路動態IP位址、Cookies、生物特徵(如指紋、指靜脈、長相)或是定位資料(如GPS、MAC位址)都被視為保護對象。也就是說,GDPR不只保護個人資料,也要保障隱私。這使得GDPR被視為是反科技、反創新。事實不然;GDPR是定出企業個資蒐集的框架,使廠商行為不得踰越,並鼓勵其在框架範圍內推出更好的技術、跑出數據分析、提供更好的服務和價值。

GDPR涵括六大安全原則,在基本的機密、完整及可用性外,加入不可連結性、透明性及可介入性

此外,GDPR包含的六大安全原則,除了傳統為人熟知的機密、完整及可用性,還多了不可連結性(Connectivity)、透明性(Transparency)及可介入性(Intervenability)。不可連結性要求確保資料最小化、資料隔離、匿名化/假名化,以及提早刪除資料,企圖從根本阻斷個資外洩的可能。透明度要求不斷紀錄、不厭其煩向個人解釋蒐集的原因、方法及個資用途、以及個資外洩要求通報等,旨在從事前到事後、程序及技術上完全透明化。可介入性,則是反對廠商以技術做不到為由的搪塞態度,要求確保個人可中斷服務、可將資料攜出到別處、可要求刪除資料,一種「重視人高於科技」的價值觀展現。

從臉書爆發劍橋分析(Cambridge Analytica)濫用其8,700萬筆個資事件後,許多品牌客戶與之切割來看,不遵循GDPR對企業絕對有會商譽乃至於營收上的損害。

也許有些企業擔心,國際上有GDPR,國內有個資法、營業秘密法、資安保護法的規範,恐怕光是法規遵循就足以造成企業人仰馬翻。尤其GDPR更廣泛的認定個資,及它種種規範,像是設置資料保護長、資料外洩的通報期限等,比起國內法規更是嚴格許多。

即使如此,GDPR和個資法的法規遵循作業其實可以一步到位。因為GDPR範疇完全涵蓋個資法,只要先做好個資法的合規,再依據GDPR擴大範圍,調整政策、組織流程及工具的設定,即可同時滿足兩種法規,就算未來還有新法規推出,也可以循此因應法規的要求,達到資安的長治久安。

從組織與技術面雙管齊下,才能達成合規,進而獲致資安長治久安

實際執行上,法規遵循工作包括組織及技術二層面,前者涉及政策、流程和人事,後者包括服務及軟體工具。組織面的合規有賴企業自己的法務、IT部門,結合外部顧問及高層支持,以調整出適合的作業流程,這無法假手他人。但是技術層面則可以藉由選擇優良的產品工具滿足大部分要求。

網擎資訊從早期的郵件資安、郵件歸檔,去年買下儲存雲產品、今年再跨入即時通訊(IM)歸檔、AI為基礎的反詐騙服務。網擎不但力求產品的安全、效能、整合效益、也確保產品符合產業標準,包括ISO 27001、ISO 27550,具備整體安全性及隱私工程,現在還積極規劃結合現有產品線,實現企業流程的自動化串接,企望能從技術面,協助企業滿足GDPR甚至未來法規的遵循。

以私有企業個人云支援法規遵循及跨平台協同

網際網路、雲端應用、智慧型手機的出現,企業成為跨應用、跨(公、私)網路、跨裝置的環境。對企業員工來說,跨平台、跨雲的協同行為再尋常不過。然而這也意謂著安全風險及法規遵循的責任隨之升高。

現今企業生產力和協同密不可分。為了提升生產力及業務運作,企業員工以電子郵件交換機密資訊、用網路芳鄰或Dropbox分享檔案、用FTP上傳客戶或其他工作上的資料,再尋常不過了。市場分析機構Gartner預估,到2022年全球80%的中大型企業會部署內容協同平台(Content Collaboration Platform)。

Openfind行銷處協理林家正

然而,各種企業資料分享管道都有不足,像是電子郵件拒收太大檔案、FTP和NAS系統分享無法追蹤資料流向有資料外洩可能。雲端化的Dropbox十分方便,但是公司IT部門無法有效管理、USB隨身碟容量有限,而且容易掉,還可能夾帶病毒。檔案伺服器現在仍有許多企業使用,但是從外部網路需要建立VPN才能下載檔案,不利於在外作業的員工,如支援工程師或業務人員存取,而且檔案伺服器缺乏存取控管、紀錄、備份機制,可能置重要資料於竄改、破壞及被惡意程式感染的風險,更別提企業資產被勒索軟體加密,必須破財消災的威脅。

上面還只是企業部門考驗的一部份。另一個更大的挑戰來自法規遵循。從《個人資料保護法》、《營業秘密法》,今年還多了《資通安全管理法》,以及歐盟推動的《歐盟通用資料保護規則》(EU General Data Protection Regulation,簡稱GDPR)。以國內銀行業為例,主管機關金管就有嚴格規範,並不時提出糾舉,像是要求圖片稽核、往來電子郵件要備存7年、客戶個資需加密儲存,以及外部網路不得下載檔案的資料不落地限制,而且受到新興的勒贖軟體威脅影響,現在連企業常用的網路芳鄰,也被限制要求資料傳輸處理需做好認證及軌跡紀錄。

那麼,要如何在現在跨平台、跨網路協同環境中,確保生產力與法規遵循的平衡呢?網擎資訊從郵件歸檔產品起家,之後日漸擴大產品線到郵件資安、防詐騙沙箱技術,去年收購和沛科技的私有企業個人云產品ArkEase Pro(以下簡稱AEP)後,則積極整合為串連企業內網、外網及雲端的資料協同安全產品。

AEP可確保企業員工、外部人員在私有企業個人云上方便而安全的協同

AEP可以跨平台、跨裝置提供員工重要資料同步與備份,而且確保權限控管與存取安全,並能防禦勒索軟體損害。在AEP平台的多人協作空間,專案團隊管理員可針對不同職務角色(或是公司內、外部人員)設定存取權限、或是設定容量上限。它對內網允許大型檔案交換、對外網支援網頁、Outlook add-on及代理程式分享連結,而不同人的文件更動、上傳、下載、刪除在系統上都有軌跡紀錄,以便於管控究責。此外,所有文件也都有檔案版本控制及註解、備份,方便資料的回溯及復原。當團隊中有員工離職,管理員只要移除帳號,就能關閉所有存取權限,還能將資料指定給接班人。

AEP對內部員工允許大型檔案交換、對外部人員或外網存取支援網頁、Outlook add-on及代理程式分享連結

AEP還提供以AI為基礎的惡意軟體防護。例如,AEP若透過文件中的誘餌代理程式偵測到文件於異常時間加密,就會緩步或停止上傳到雲端,如果真的偵測是遭勒索軟體加密時還能以備份版本還原文件。

秉持產品雲端化、資安在地化及溝通協同化精神,結合網擎AEP及其資安與郵件管理產品,將可協助企業在多平台協同環境中,確保兼顧法規遵循、安全及生產力。

 

 

 

 

 

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416