技術文章

2019-05-20企業因應個資法下實施郵件稽核評估與建議

企業為何要實施郵件稽核:

新版個資法上路後,法規遵循與訴訟舉證是企業所要面對的議題與挑戰,企業佈署郵件稽核,可以有效避免個資因電郵管道不當外洩並可以事後提出舉證資料,就個資法上除了恪盡『善良管理人之責』,並且落實企業端『具備舉證的能力』,同時亦可證明「已採行適當之安全措施」,整體需求面可以分而兩大類型:

  • Regular compliance(做好法規遵循-企業責任準則)
    如:個資法、SOX 、Basel、FRCP、PCI與HIPPA,皆是要求在商業營運中保護、追蹤及控制或事後舉證所有敏感的資訊
  • 避免機敏資料或智財(Intellectual Property)外洩或因應相關訴訟舉證所需
    • 監控組織與外部客戶與供應商間[通訊行為]與[機敏內容]
    • 避免機敏資料或智財(Intellectual Property)透過郵件管道外洩
    • 確保與客戶/供應商/外包商間通訊符合競業條款
    • 特定通訊對象或內容信件自動加密
    • 規範組織與單位符合整體通訊行為政策
    • 避免不當言論外洩
    • 特定單位或人員監控

完整的郵件稽核應分為『郵件前稽核』與『郵件後稽核』

  • 郵件前稽核(Email Pre-Audit)

    即時資料的稽核,確保內部機敏資料外洩與事前預警機制。系統可針對企業內送或外寄信件設定郵件稽核管理規則,而符合稽核條件的郵件,將觸發規則而遭攔截留置在待審區或是進入相關審查流程,確保機敏資料或個資不外洩。

    稽核處理動作需支援郵件審核,除依組織成立主管審核區外,同時提供符合條件滯留、退信、通知管理員、Bcc主管、間接或直接傳送,上標籤,且相關信件可以做歸檔或監控通知寄送,以符合法規所規範的資料安全性準則。

  • 郵件後稽核(Email Post-Audit)

    針對歸檔郵件資料的稽核,提供日常稽查或事後追查可疑的事件及人員。提供完整歸檔企業郵件,包含外對內、內對外、內對內(IN-OUT、Local to Local)等流向的信件。並透過搜尋引擎技術提供巨量資料的快速搜尋調閱(Search over BIG DATA)與郵件生命週期管理(Email Life cycle management)的規劃,以符合法規要求的長時間的稽核舉證。 提供稽核人員快速進行的,包含郵件各種欄位與相關附件的內文全文檢索,調閱符合稽核條件的信件,選擇進行重送、下載、轉寄、轉寄為鏈結、轉寄為附件或上標籤或稽核註記等工作。

如何評估與選擇一套良好的郵件稽核系統

個人資料屬於企業機敏資料一環,亦是企業寶貴資產。綠色運算長期於電郵資安與雲端運算市場長期經營。在電郵稽核技術方面,除協助高科技產業郵件稽核的解決方案,亦協助電信業者相關郵件稽核雲端的開發與建置,如近年來協助中華電信建立全台最大的郵件後稽核雲端(Mail Archiving Cloud),提供上萬家企業組織雲端歸檔與稽核的解決方案。

綜觀目前電郵稽核技術,根據輔導經驗發現,有兩大基本問題值得客戶導入實 作切實地評估:

事前稽核機敏資料含個資等,是否能有效偵測攔截
事後稽後機敏資料含個資等,是否能有效探勘舉證

技術的良莠與否,取決於該攔截的機敏資料是否可正確攔截? 有問題的機敏可疑信件是否於事後可以探勘舉證出來? 例如,企業若導入archiving 系統於事後卻無法調閱『含有個資的信件』,和『含有程式碼的信件』,『[業務部們 ]外寄郵件含部門敏感關鍵字附件,沒有知會主管,將信件寄往競爭對手們相關網域的信有哪些? 上述問題若非,那導入該系統在實務上的意義就大大減弱效益甚至毫無意義。

針對上述的客戶實境,綠色運算除了開發regular compliance 的中文化個資掃描引擎,針對郵件流中的中文姓名識別、全國各縣市地址,另外還支援身分證號碼、信用卡號、護照號、市話、手機號碼以及電子郵件位址或其他客製證號的個資偵測,確保各類個資組合都能精確掃描偵測!

個資或機敏資料偵測、支援雜訊、容錯、模糊比對、部分比對等進階比對功能 (如:陳兆寧與陳經理兆寧、陳組長兆寧、馬英九與馬總統英九、馬主席英九)均可以辨別為中文姓名。

可依自定義規格定義相關個資風險資料偵測rule{系統有預設值,ID 可以是身分證、信用卡、護證照、病歷或相關客製證號(保單號)}

  • 姓名+地址 (Found n次,n可指定)
  • 姓名+手機 (Found n次,n可指定)
  • 手機+地址 (Found n次,n可指定)
  • ID+手機 (Found n次,n可指定)
  • ID+市話 (Found n次,n可指定)
  • ID+地址 (Found n次,n可指定)

自訂個資組合或證號pattern (Found n次,n可指定),如 超高風險個資:信件內含姓名、身分證號、信用卡、護照號、市話、手機號碼以及電子郵件出現N種,各出現N筆 中度風險個資:ID證號+另一單一或多重個資(電話、手機、地址、email) 出現 n筆 (各類風險參數可自訂,可類推自定義) 定義後可輸出相關個資掃描與風險分析相關報表,以提供糾舉、提報、改善、舉證等相關用途

除個資外,在MDLP (Mail Data Leak Prevention),有別一般廠商關鍵字與正規表示式比對,綠色運算以卓越的大量資料集(辭典檔)比對引擎技術 (MPM-Multi-Pattern-matching)提供優越的偵測探勘引擎比對技術。何謂MPM技術,我們舉例一些高科技稽核實際案例說明,這些案例若不具備MPM技術,則很難在實際應用案例上,在稽核政策定義上可能就會捉禁見肘(當然,無法下政策就無法事前偵測或事後探勘)。

如高科技產業一些案例,若一般只提供關鍵字或正規表示式比對的電郵稽核系統,則很難於實務上應用或無法下稽核政策,如以下高科技產業常見稽核管控政策。

收件者只能含單一客戶網域,不能出現其他客戶網域於同一封信
客戶與供應商或外包商To/RCPT不能出現在同一封信
RD 部門外寄信件到免費信箱網域一律攔截
信件外寄所有收信欄位的收信人須都符合公司公務通信清單成員
多個專案team(或業務),只能寄信給屬於自己專案的客戶對象(各有自己的公務通訊清單),不可寄給其他非自己專案的客戶,可以寄信給不在上述,所有通訊清單的對象。這要做稽核管控與分析 (即各專案組織不能與非自己客戶通信)
除[處級主管]以上,外送信件一律先做[關鍵字組權重(3分)式辭典檔檢查],有含關鍵內容則攔截.不含關鍵字仍需檢查[是否有附件],附件若cc給[主管]則放行,沒給主管若是通信對象為[公務清單]者放行常會有專案組織,公務通訊清單,限發清單,拒絕清單,客戶清單,廠商清單,BU客戶清單,部門關鍵字典等Data set 設計
一般compliance偵測 (如個資法SOX,PCI,Basel,Hippa)

綠色運算從Appliance-Package-Project-Cloud,提供一系列的郵件稽核解決方案,就電郵稽核技術上提供best of breed 與先進的偵測與探勘技術。

最後,提供經驗上的分享-如何選擇良好的電郵稽核產品?

只有關鍵字與正規表示式表比對的方法無法滿足稽核實務(一般產品)
資料集(大量關鍵字或多模式樣pattern)如何比對? (如收件者符合公務清單如何比對? 符合部門關鍵字3個以上或分數6)
是否具有資料集(辭典檔權重)比對引擎技術(MPM-Multi-Pattern-Matching)
最簡單的方法是直接舉稽核的政策(如:RD部門外寄信件到免費信箱網域一律攔截)做實際產品POC驗測
產品是否提供最佳的稽核比對技術,效率與易於維運的稽核政策管理方式
歸檔產品是否提供自動化稽核或舉證探勘的工具或引擎

評選上的建議:

隨著法規修訂的腳步,個資法議題與需求在資安市場的熱度也持續上揚。對於企業而言,若要妥善管理與保護數量龐大且分散的個資,每天收發無數的電子郵件也是不容忽視的一大環節。要想做好個資保護與安全,郵件稽核管理便是第一步。實務上,建議使用單位應以實際應用案例(real audit scenario)去定義一些Policy 做稽核結果驗測,而非測試局部產品規格功能,會比較符合企業實務稽核上的需求。

作者:陳兆寧larry@green-computing.com
任職於綠色運算

Top