[IT FEED] 防止資料外洩 嚴防不如找對著力點

當個人資料保護法議題在發酵之際，最聞風色變的是企業主和企業內部的 IT 人員，因為現今的金融機構要同時兼顧資訊透明化及落實資料風險管理。

金融產業無不加緊腳步，為部署新的金融體系和作業環境做好萬全準備，並可妥善地保存及管理資訊和資產，全都更加突顯防止資料外洩 (Data LossPrevention, DLP) 解決方案的必要性，以預防重要的數位資訊外洩，不僅避免鉅額財務損失，更可維護寶貴的企業聲譽。

DLP 對金融業者的重要性，可歸納幾個原因：金融業是一個高度規範的行業，顧客對業者保護其個人資料的要求嚴苛，一旦無法取得顧客的信任，客群就會流失；金融機構將個人資料外洩的負面報導會嚴重損害其企業形象；業者需展現擁有嚴格資料防護標準的需求。此外，資料外洩所造成的影響，不僅只是每筆遺失資料的金額損失，金融機構更要面對損失商譽以及重挫市場競爭力的危機，因此，資料外洩的威脅不容小覷。

DLP 解決方案專為保護客戶個人資料、帳戶資訊、智慧財產及金融數據等資訊設計，其功能包括：僅允許授權使用的電腦及其他相關器材可以連結進入銀行內部網路；防止員工透過企業或網路提供的電子信箱傳送未授權的資料；將碟片及備份的資訊加密以預防資料應用時遺失或竊取；防止存放在檔案伺服器裡的重要資料讓未授權之有心人士存取；對曝露在銀行部門間的機密資訊進行風險回報；可遵守金融資料安全的相關法規及企業標準規定。

相較於其他業者，金融業是握有最多個人資料的產業，加上如隨身碟、筆電、智慧型手機等可攜式儲存設備盛行、銀行個人帳戶資料及信用卡資料名列猖獗地下經濟體系最熱門的商品，網路或行動裝置等新型應用管道等因素，皆讓資料被竊取的風險升高，為資料流通管理帶來極大挑戰。

技術不是問題 資安控管更困難

導入 DLP 解決方案的效益也可歸納如下：

1. 修正人為疏失

對部份企業而言，希望可藉由 DLP 改善員工的作業疏失，例如以電子郵件寄送機密文件時，DLP 即可攔截並會提醒寄件者，確認行為妥當與否，或將此寄送行為報知企業內部 IT 人員，進而控管資訊流向並加以規範。而透過此機制證實可提高員工處理敏感文件的警覺性，進而降低企業的資料外洩案件的機率。因人為疏失而造成的資料外洩事件，往往比因惡意程式攻擊的比例高，除了有心人士的行為外，有時候也因企業缺乏良好的安全機制處理敏感文件所導致。

2. 保護靜置的資料

DLP 的另一項功能是可透過搜索方式查出曝露在不安全的地方且未受保護的資料，找到無人管理或可以被刪除的多餘資料，進而協助改善靜置資料的安全及使用效率。

3. 因應新的溝通管道

防止資料外洩的另一大挑戰在於如電子郵件、即時通訊及社群網路等新世代的溝通模式和工具，讓員工的工作與個人生活慣性界線愈來愈模糊，面對 Banking 2.0 時代，及新客戶行為模式及溝通管道，金融機構要跟上新金融時代腳步之際，除了應滿足客戶對金融服務的需求，更應重新思考在各種創新的溝通方式及交易模式中，如何讓資訊安全隨著科技應用的變遷，隨時保持高安全狀態的挑戰。

對業者而言，真正的難題並非技術，而是如何在資訊公開透明化、社群網路應用，以及資訊共享服務的趨勢中，維護來自四面八方的資料之安全性。資訊的可取得性以 40% 到 60% 的年成長率迅速成長，網際網路的快速發展也讓更多資料無所遁形，尤其客戶資料被濫用以及企業的智慧財產被複製事件層出不窮，對企業造成莫大的影響，也提高了資訊安全保護的難度。

銀行及金融業者資訊長首要的議題，是導入更好的安全防護系統，以符合局勢並讓客戶安心，建議以下幾點做為評估依據：在保護客戶資料及智慧財產時先定義機密資料範圍；增加企業內部引擎的搜尋能力：知識共享；保護員工的溝通管道：允許使用即時通訊息（如 MSN）的溝通管道，但需記錄通聯記錄為合法依據；管理數位認證以確保使用者身份；對金融機構尤其重要的全年無休全天候服務及資訊可用性。

防止資料外洩與資訊公開議題並非兩難，只要能妥善管理資訊、確實辨別資料的敏感等級，並做好防範及人員訓練，即使面對資訊公開化的趨勢和環境變遷，也能以穩健的腳步，以確實的資訊安全防護措施，面對新金融時代的來臨。

（作 / 臺灣賽門鐵克董事總經理 曾銘仁）