用資料保護設計實踐隱私預設原則。
文/林逸塵(國立政治大學資訊管理博士)
在前期介紹隱私始於設計(Privacy by Design;PbD)的七大原則,進一步演繹出資料保護設計(Data Protection by Design;DPbD)三大面向:「資通系統政策及風險管理」、「資通科技控制措施」、「資料生命週期標準作業程序及IT設施管理」作為資通系統開發的最佳實踐。
[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 IG,與全球CIO同步獲取精華見解 ]
針對隱私風險與資安風險間交集的共通部分,本期將繼續介紹技術控制及作業程序應考量的其他實踐方式,其所代表亦為資料安全防護重點,透過檢視與資通系統相關的控制措施,將 DPbD 的面向經由技術面(個資與資安防護)及管理面(標準作業流程與設備管理)擴展,運用特定 IT 技術、業務運營、物理架構及網路基礎設施等,將隱私始於設計貫穿整個資料流與系統開發生命週期,使資料保護設計能與 IT 系統的開發實務更加深化。(見圖1、圖2)
資通科技控制措施
◾ 電腦網路
電腦網路是資通設備的通訊媒介,個人資料透過電腦網路傳遞分為組織內部及外部網路;未經授權或不安全的網路連線可能導致系統防護減弱,設備的漏洞可能導致個人資料外洩或非法使用,故組織連網安全是很重要的議題。組織應架設防禦資料安全的軟硬體設備,例如防火牆、端點安全防護、伺服器防護(如防毒/惡意軟體偵測等),以保護電腦網路免受惡意攻擊,並應定期檢查及測試其安全性。
組織應記錄及文件化系統組態,特定系統服務、協定、通訊埠(port)、補償控制應確實執行,並監控、加密及限制傳輸資料,根據業務需求進行合理組態配置;確保防火牆通訊埠預設最後一筆為從嚴的 deny any 關閉狀態,並定期檢視防火牆連線規則,只有必要網路服務才開啟,關閉未使用的通訊埠,設定包含限制連線、伺服器及 IP 位址白名單等。
檢查關閉非必要的網路服務功能,例如關閉網站目錄列示功能、禁用非必要監聽服務、關閉未使用 API 及通訊埠、避免使用預設通訊埠;應限制及指定外部 IP 範圍,維護白名單連線列表,僅允許特定受信任的主機傳輸資料。應評估伺服器遠端存取需求,例如配置開放遠端桌面協議(RDP)將曝露其網際網路的接取點,應採取額外控制措施限制指定外部 IP 位址訪問、遠端桌面透過虛擬私人網路(VPN)使用等,並應記錄 RDP 的登入情形。
建立入侵防禦系統(IPS)監控電腦網路,防止違反政策的設備或應用程序的惡意活動;入侵偵測系統(IDS)用於監控網路和系統活動以偵測惡意行為,設定檢測到異常活動時會發出警示。建議安裝資料安全設備,防止資料未經授權從資通設備匯出,例如定期監控網路活動,移除未經授權的端點設備或無線網路接入點;使用 MFA 身份驗證、強加密來進行遠端訪問;定期檢視加密演算法及密鑰長度,確保其符合業界認可之安全強度。使用網路代理伺服器(proxy)限制員工訪問已知的惡意網站,網路設計實施多層次或網路區隔,根據設備功能、物理位置、訪問類型等對內外網隔離。
◾ 資料庫安全
資料庫用於儲存及管理個人資料及商業機密,組織需為資料庫建立完善的安全防護。考量不同的資料庫產品及版本具有不同之安全功能,故選擇資料庫時應充份了解安全需求及其對應功能,包含識別儲存的個人資料類型,避免對個人造成不利影響風險。
資料庫是儲存完整個人資料的地方,應嚴格控制其用戶及活動,例如應限制直接存取資料庫、執行任意 SQL 語法或存取資料庫架構的權限;應記錄所有資料庫活動,例如資料庫之任何更改、資料存取活動等,以追蹤未經授權或異常的行為。應檢查資料庫實體是否在安全保護範圍內,確保其安裝在網路中安全位置,且資料庫應架設在防火牆的後方,以進行網路存取控制防護。
運用資料庫資料內建之加密強化功能,尤其當資料洩露時造成不利影響的風險性較高,或存有敏感資料的數據集應進行加密;定期檢查加密方式(例如演算法和密鑰長度),依據資料的敏感性對於存取權限作嚴格的控制,例如:資料庫限制用戶查看含有敏感資料的資料列(data row)、信用卡號碼資料的隱碼遮罩(data masking)等措施。
網頁應用程式及網站安全
網站及網頁應用程式是組織與客戶或公眾間交流或提供服務的管道,例如:會員登錄、獎勵兌換、活動註冊及意見回饋等功能。架設公開網站的組織應對其常見的網路威脅採取措施,其威脅包括惡意檔案上傳、跨站腳本(cross-site scripting, XSS)、(SQL injection)及 URL 操作(URL manipulation)攻擊等,因此組織為確保個人資料保護的網站安全性是設計關鍵。
首先,應確認系統驗證所有用戶輸入的資料,使用戶界面只能輸入預期的資料(例如特定資料型態、檔案類型等);對於用戶上傳的文件要掃描及檢測惡意程式,當檢測到惡意程式時要進行後續處理行動,並限制用戶上傳的白名單文件類型。應避免非必要性的個人資料儲存到網站的 cookie 裡,以防止駭客讀取 cookie 內容進行不當驗證及偽冒,確保使用中的網頁會話(session)安全,防止中間人的攻擊手法。
[ 推薦文章 :從原則邁向 IT 系統實踐之路(中)從隱私始於設計觀念來確保個資之資料保護 ]
此外,應確保含有個人資料檔案的安全,避免非預期在網站或透過網頁應用程式提供,例如:禁止個人資料存在公共資料夾中、停用目錄瀏覽功能等,以防止駭客搜尋到機敏文件;應啟用定期掃描網站公共資料夾,定期檢查公共資料夾內有無個人資料,並在預設保存期限屆期時,自動清除公共資料夾內容。避免透過網站的後門(back door)進行秘密的 URL 管理或日誌除錯,因此後門容易導致未經身份驗證的用戶訪問個人資料。
機器人排除協議(robots.txt)是一種在網站根目錄下存放的文字編碼檔案,其用途是告知搜尋引擎的網路蜘蛛,該網站中的哪些內容是不應被網路蜘蛛所取得的,而哪些又是可以取得的;除了靠 robots.txt 來隱藏網頁,針對處理個人資料的網站和網路應用程式,應使用安全連接技術、TLS 協議或 HTTPS 加密通訊。執行網頁應用程式掃描及源碼檢測以發現網頁漏洞,例如:檢查常見的網頁應用安全漏洞(OWASP TOP 10);不允許同一用戶在非必要情境執行多個網頁會話,如需要多個網頁會話情境時,應通知用戶該會話仍執行中,應提醒用戶關閉或進行其他後續處置。
加強的措施包含使用非持續性 cookie 來進行網頁會話管理,且使用者關閉網頁瀏覽器後應自動消失;當有個人資料儲存在 cookie 時,應仔細評估是否必要,且敏感資料保留在 cookie 應進行加密,限制只能在短期間保存,當使用到期時即自動刪除。另使用 Web應用程式防火牆(WAF)進行防禦 SQL 注入及 XSS 攻擊等,除了應用程式的程式碼層級之外,可作為另一層的安全防護措施。
◾ 資通技術安全與測試
在發生的資料外洩事件中,程式編碼問題已被指出為原因之一,因此軟體開發人員及其他 IT 人員應隨時掌握最新及新興的資通安全威脅,在程式的設計、測試與維護階段能夠保護資通系統的個人資料。
應注意非正式環境中不使用個人資料進行測試或其他目的,不使用真實資料進行用戶驗收測試(UAT),盡可能使用匿名化技術或合成資料;撰寫程式應針對軟體或程式碼變更(例如使用全域變數)進行全面的影響分析,以有助於了解該變更可能帶來的錯誤,並了解系統中哪些部分可能因應用程式功能變動而受影響。
執行源碼檢測及單元測試時,包括對功能需求的完整測試,以驗證系統開發生命週期在早期階段符合需求規範。例如「if-then-else」判斷條件下的容錯處理,防止不當錯誤導致敏感個人資料外洩。在進行系統整合測試時,對功能需求全面測試及驗證所有外部系統介面整合。
在系統開發生命週期的後期階段,應進行 UAT、負載測試與壓力測試,確保系統穩定性與安全性。為驗證使用情境中的業務邏輯,執行與設計的使用情境測試需妥善規劃,以模擬真實世界的使用狀況,並應涵蓋使用個人資料的情境。此外,UAT 涵蓋範圍也應包括可預見的例外處理情境,特別是在傳輸或顯示個人資料的「實際運作」情境;程式部署後,定期進行網頁應用程式漏洞掃描和評估工作。
軟體功能和技術規格(例如程式規格、系統規格及資料庫規格)應文件化,有助於提高應用程式及軟體品質。執行個人資料的定期備份政策,對於備份的媒介定期測試,使備份資料能夠及時由非預期的資安事件回復。應避免密碼曝露於程式碼或設定檔中,明確載明於資通訊政策中,確保團隊成員或委外廠商知悉,當進行安全性審查時,應掃描並檢查此類風險。
採取自動化建構部署,最小化手動操作以減少人為錯誤,例如:執行預先定義的腳本,而非每次需要更新應用程式時手動輸入命令,避免輸入錯誤和意外遺漏某些指令的可能性,造成部署到錯誤的環境,誤將測試版本發佈到正式環境等。新資通訊系統正式上線前,應進行網路滲透測試,偵測並修補潛在的系統弱點,確保系統上線前安全,監控資料匯出的活動,偵測是否有資料外洩行為,並考慮設定允許匯出的資料量門檻以加強控管。
資料生命週期標準作業程序及 IT 設施管理
◾ 個資安全意識
組織應提高員工的資通安全威脅及因應措施的意識,並制定內部政策及流程,降低系統濫用或人為錯誤造成的風險。針對惡意軟體、釣魚網站或其他社交工程保持警惕,尤其在組織無特別限制訪問內外部網路時,應使員工了解與工作相關的資料安全政策及標準。
定期實施員工實體或線上培訓計畫,教育員工熟悉安全政策、控制措施及個人資料保護程序,透過執行各項安全培訓,使員工理解個人資料保護的重要意識,例如密碼管理、釣魚/社交工程、企業/個人設備防護、事件處理等;並建立標準流程以監控員工的安全指標,例如定期進行網路釣魚模擬演習,提醒員工對釣魚電子郵件和其他形式的社交工程保持警覺。
◾ 個人電腦及其他設備
組織內員工使用個人電腦常會安裝電子郵件、文書處理、試算表、簡報工具等軟體,在作業過程中所涉及個人資料存在電腦本機硬碟,因此應採取預防措施以保護其個人資料;電腦透過密碼保護是最基本的,例如電腦啟動時要輸入密碼、要登入後操作系統、一定時間未使用時鎖定螢幕等。
電腦減少安裝軟體使其存在漏洞可能性將相對降低,因此不要安裝非業務需要的軟體,避免安裝無合法供應商支援的軟體;電腦應定期執行防毒掃描、反惡意軟體掃描等,並定期執行病毒碼自動更新排程;為保護電腦中的個人資料檔案,軟體應時常更新及修補漏洞,防止未經授權人員查看螢幕或透過個人電腦進行位置定位。
資料加密能有效保護個人資料,其包括全磁碟加密(full disk)、虛擬磁碟加密(virtual disk)、磁區加密(volume)、檔案/資料夾加密(file/folder)及應用程式層級加密(application-level)等,透過個人電腦的資料加密可提供進階保護;應定期檢查安全加密方式(採用 AES 演算法及 128 位元以上的密鑰長度),當密鑰長度越長則越安全。
應妥為管理及保護密鑰安全,確保與加密資料分開存放;如電腦存有組織資產或敏感個人資料等機密文件時,應禁止在該電腦進行匿名或訪客方式登入使用;不允許非系統管理員使用外部儲存媒體開機,只有系統管理員可以安裝軟體或變更安全設定,且管理帳戶僅供特權的系統管理人員使用。
◾ 可攜式設備及可移除儲存媒體
組織常使用的可攜式運算設備包括筆記型電腦、平板電腦與行動電話;可移除式儲存媒體(如行動硬碟、備份磁帶、USB隨身碟、記憶卡等)也同樣廣泛運用。因可攜式行動裝置比個人電腦更容易遺失或遭竊,應採取額外的安全措施保護,對可攜式設備及儲存媒體內的檔案(尤其存有個人資料及機敏資料)進行加密,以防止未經授權的揭露、修改、刪除或毀壞個人資料;所採取的安全措施,無論是組織配發或由員工自備的設備(例如自攜裝置BYOD)都應一體適用。
應維護可攜式設備及儲存媒體清冊,並最小化該設備所儲存的個人資料,歸還後刪除不再需要的資料。當設備不再使用時,確保其實體經由安全上鎖或固定在裝置上,應為含有敏感資料或大量個人資料的可攜式運算設備啟用遠端鎖定與清除功能。
◾ 合規、監控、警報、測試及審計
定期稽核與確認作業將有助組織保護個人資料,其設計與設定的資通訊安全控制措施已被正確實施及落實執行。例如若未依第三方軟體供應商的建議更新軟體修補程式,則系統可能缺少最新安全更新檔,進而減弱系統抵抗網路攻擊的防禦能力。因此,確認組織的政策及流程符規、實施資通技術控制是應對網路安全的關鍵,將更增強遭遇事件的應處能力。
定期進行資通技術監控(monitor)、警示(alert)、審計(audit)、掃描(scan)及測試(test),應檢測系統漏洞及執行管理標準;此外應採取即時補救措施(如系統修補、安全掃描及檢查日誌異常等)修復系統漏洞,以符合既有政策或程序等;應保留稽核記錄(audit logs)以記錄各項事件。
記錄對於資安事件的根因調查及監控資通系統整體運作狀況至關重要;應實施相關監控措施,確保定期檢視資通訊系統日誌紀錄,以偵測是否有安全違規行為或潛在的資料外洩事件。另應確保外包資訊技術廠商知悉,組織將使用其服務處理個人資料,並且明確了解其在資料處理方面的責任與相關要求。
應充份了解處理個人資料方案(例如 plug-ins 外掛程式)的特性及限制,例如使用 Word Press 架設網站收集表單資料時,確保不會公開在可外部存取的資料表格,須透過線上文件的說明來掌握該程式特性,進一步更改必要的預設配置參數。組織應制定資料外洩管理計畫,以有效管理應處事件,該計畫應考慮組織的業務流程及需求,以涵蓋整個資料生命週期中的使用範疇。
◾ 雲端運算
雲端運算為不同規模的企業帶來敏捷性、效率與彈性,使企業無論身處何地都能運用雲端科技,並加快產品與服務推向市場的速度。雲端運算已被視為推進全球資訊科技領域的重要力量。採用雲端服務來管理個人資料的組織,需注意雲端服務所特有的安全性與法規遵循挑戰,以及在資料因資安事件而遭洩漏時可能帶來的後果。因此,組織應選擇具備合格資歷的雲端服務供應商(CSP),並依循「共享責任」與其密切合作,以確保雲端環境中個人資料的安全防護。
CSP 應符合通過 ISO 相關認證,其標準可能包括 ISO/IEC 27001:2022、ISO/IEC 27017:2015、ISO/IEC 27018:2019 或其他國際公認標準。
應清楚了解 CSP 為保護組織的個人資料所採取的保護層級及安全措施,並選擇符合組織需求的相關設定,以確保組織個人資料的適當保護。
應清楚了解 CSP 為組織提供的雲服務模型(如 IaaS、PaaS、SaaS)所定義的共享責任模型。無論部署方式如何,組織通常對其資料、端點、身分與存取管理負有責任,組織應針對由其直接控制的資訊系統或個人資料提供額外保護。
應清楚了解在資料外洩事件發生時,CSP 承諾提供的升級處理流程及服務水準;CSP 可能會接到執法機關或司法機關的合法請求,要求其提供所託管的個人資料,因此在合約中至少應要求雲端服務提供商在接到此類請求時通知組織,並且在揭露個人資料前先徵求組織的同意(除非法律明訂禁止);透過向 CSP 提出明確的營運要求(例如第三方稽核、滲透測試、分享相關報告或測試結果等),並將這些要求納入合約條款中來協商其責任。確認加密密鑰安全性,使其與加密資料分開存放,例如在地端儲存加密密鑰,而將加密的個人資料儲存在雲端,或利用第三方供應商的密鑰管理解決方案,來確保個人資料的安全。
個資保護 DNA 賦予資通系統新生命
組織及其供應商為了業務執行的資通系統與流程中,應發展良好的營運治理,掌握隱私始於設計及資料保護設計實踐的要項,組織在資料生命週期中採用良好的個資保護實踐,以將組織、當事人及利害關係人的隱私風險降至最低,確保組織能正確蒐集資料、保持透明度、資料控制權等,並確認資料不具特定業務目的時予以銷毀。
當個資保護 DNA 深入 IT 系統的生命週期需求、設計、開發、測試、部署及維護階段時,個人資料保護功能將在資通系統的表現層(presentation)、應用層(application)、資料層(data)彰顯及呈現,隱私始於設計確實成為個人資料保護與資訊系統融合的重要原則,在資訊產品及服務上自然可以預設保護個人資料,其效果如下。(見圖3)
- 預設方法:
當 DPbD 實作為資料保護的安全維護措施,當涉及個人資料處理的 IT 系統,在設計時即嵌入系統,自然發揮其防護力。 - 實踐文化:
IT 系統在起始開發階段就應考慮資料保護原則,藉此組織才能建立管理體系來保護個人資料,並創造良好的資料保護實踐文化。 - 加速開發:
當與事後加入資料保護功能的系統相比,IT 系統在整個生命週期中即確保 DPbD 的實施,有助於減少開發延遲及控制成本。 - 事前符規:
DPbD 不應該是為了事後符規的想法,應注入組織開發系統的流程活動中,能夠確保個人資料的適當安全維護。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
