資料遮罩技術讓重要個資不露白
資料遮罩是在資料儲存區裡面,將特定資料遮蔽起來的一種處理方式,目的是為了確保敏感資料能夠被看似逼真的資料所取代,可避免敏感資料暴露在這些作業的過程中,降低資料外洩風險
以往個人資料因為各方經手處理的業者,作法不夠審慎,而使得這些資料一不小心就暴露在外,當有心人士蒐集、處理、利用後,又導致我們在日常生活中受到不必要的打擾。例如收到廣告信、促銷產品或服務的簡訊或電話,甚至被詐騙集團欺騙,而使得存款或銀行帳號被盜用,這些事件時有所聞。
也因此,這幾年來,許多企業在一些資料的處理方式上,已經有所限縮。例如,在交易過程中,對於一些能識別個人身分資訊的呈現上,如銀行帳號、電話號碼,開始在紙本帳單或交易明細記錄上,將原本完整的帳號或聯絡資訊加上一些字元來遮蔽,例如電話號碼2562-2880會變成25*2-*8*0,因此有心人士若要從帳單收集這些資料來運用,對於每一筆經過遮蔽處理的個資,他們勢必都要再花一番功夫復原後,才能繼續原本的隱私侵害行為。而這樣的作法,就是資料遮罩(Data Masking)。
從維基百科的定義來看,所謂的資料遮罩是在資料儲存區裡面,將特定資料遮蔽起來的一種處理方式,目的是為了確保敏感資料能夠被看似逼真的資料所取代。
過去,這種方式通常應用在非線上(non-production)環境,例如將實際線上作業環境的資料複製起來,以便作為系統測試或開發之用,而經過資料遮罩後,就可以避免敏感資料暴露在這些作業的過程中,降低資料外洩風險。
然而,即便個資法已經施行,臺灣企業資料遮罩應用的比例仍舊很低。根據iThome個資法大調查結果,只有不到兩成企業表示已經或預計採用,相較之下,大部分公司行號較熟悉的安全防護措施,仍然是資料備份、加密、稽核等作法。
用資料遮罩降低個資防護責任
過去施行的電腦處理個人資料保護法,適用對象原本只有公務機關、非公務機關的八大行業(徵信、醫院、學校、電信、金融、證券、保險及大眾傳播),以及指定適用的行業。
到了今年開始施行的新版個人資料保護法,則不再局限在電腦處理,並且擴大至所有的機關團體,因此公務機關,以及自然人、法人及其他團體的非公務機關,都在適用範圍內。這項法令推動的主要的目的,在第一條即揭櫫了要旨:「為了規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定此法。」
面對個資法的實施,許多機關及企業紛紛開始執行個資的清查盤點與風險評鑑的工作,並且參考個資法施行細則第十二條下所列出的十一項安全維護措施,來徹底檢視與補強自身的個資安控能力。
然而,一般企業對於個資的處理上,過去並沒有考慮到法規需求,因此為了滿足客戶的需求,以及自身的作業便利等考量,本身對於個資揭露與保管多半不加以嚴格設限,缺乏精細的存取管控,因此經手相關業務流程的內部人員,以及能接觸這些資料的IT人員,一不小心都有可能成為外洩資料的根源。
為此,企業必須更徹底地落實個資防護相關的權責畫分,並且對於使用者存取資料的行為需要做好稽核記錄,同時搭配加密的機制,讓自身對於個資管控能力提升至不會受到個資法處罰的地步(個資法第二十九條規定,非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限)。
在企業裡面,首先要把目前所持有的個資找出來,而其中可能具有個資內容的資料儲存形式,包括電子化的資料,如檔案、資料庫,以及紙本型態的書面資料。不過,在這些資料的內容中,我們必須要了解到並非全部內容都必須做到保護——只需要針對涉及隱私的資料,而不需要針對可公開的資料。而這也是個資盤點後,接下來的風險評鑑所要去區分的。
而哪些資料是屬於企業所要保護的個資範圍?個資法第二條定義如下:「自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務狀況、社會活動及其他得以直接或間接方式識別該個人之資料」。
那麼,個資法這些規定與資料遮罩的關係是什麼呢?安資捷公司的資安技術顧問陳勇君表示,個資如果不露白,相關的訴訟就不會產生。
他列出了下列公式來說明:
犯罪事實 × 損害因果 = 侵害當事人權益
損害因果 =原告的識別類個資 × 被告的行為類個資
其中,犯罪事實是指不當揭露個資,而侵害當事人權益則意味著訴訟成立,識別類個資主要是個資法所定義的用戶個資,而行為類個資是指企業對於這筆交易行為所配置的序號。而資料遮罩的目的,就是讓原告識別類個資的因素不成立,侵害當事人權益也隨之不成立。
之所以應用資料遮罩,另一個主要目的,是讓企業能夠防範平時接觸這些資料的系統管理者或特權使用者,使其只能存取到有限的資料內容。或許你覺得,這種說法有點將上述的人員當成潛在的資料外洩者,但陳勇君認為,資料遮罩反而是讓接觸這些資料的IT人員或特權使用者,能夠藉此除罪、降責,他說,機敏看到越少,保護責任也越小,就像金庫的鑰匙,很多人並不想保管,因為責任重大,這些IT人員或特權使用者若因為職務的關係,被授權可看到沒經過遮罩的資料,這跟保管金庫鑰匙一樣,需負很大的責任,而且一旦發生資料外洩事件,這些當事人也脫不了干係,必須花很大力氣證明自己清白。
個資法對於個資去識別化的要求
在新版個資法中,對於個資去識別化的應用也有相關的描述。
首先是告知的部份。在第九條中提到,公務機關或非公務機關依規定蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源及五種相關事項,但有五種情形是不需要告知,其中第四種情況就是和個資去識別化有關。
「基於公共利益為統計或學術研究之目的而有必要,且該資料需經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。」
其次是公務機關和非公務機關對於個資的蒐集、處理的目的,以及利用,也有相關的規定。例如個資法第十六條、第十九條、第二十條,都有和上述很類似的要求。
此外,在個資法的施行細則的第十七條,則對上述法條的「無從識別特定當事人」的作法,提出進一步說明。「個人資料以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人」。
而這裡所謂的「無從識別」,可以透過資料遮罩技術來做到去識別(De-Identification),目前相關產品能達到的效果有很多種。例如:將真實姓名取代成其他字元,像是李宗翰會變成*****,達到匿名效果;或者我們常在某些案例宣導時,看到將當事人姓名中的一個字替換成符號,像是李宗翰會變成李○翰;有時,是將資料原本內容的順序加以重新排列,像是將身分證字號E156565028改為E155028656。整體來說,資料遮罩技術裡面,可供套用的方法相當多。
資料遮罩與現行其他資料防護技術的差異
目前,資料遮罩技術主要是針對結構化的資料型態,尤其是資料庫,但這種作法相較於現有的各種資料庫安全防護措施,例如稽核、身分存取控管、弱點評估、監控、加密,有什麼不同?
資料遮罩 vs. 資料庫稽核
一般的資安稽核技術,主要用於精確記錄資料流動與改變的過程。例如當有人存取或變更資料時,稽核技術會保留並記錄相關狀況,以便提供事件發生的證據。相較之下,單靠資料遮罩,並無法掌握資料的動向或存取的資訊,但這種作法的長處在於,去除或遮蔽原本資料所含的敏感內容。
資料遮罩 vs. 存取控管
存取控管的主要目的,是確保只有被授權的人,才能檢視或變更敏感資料。這種機制固然可保護線上環境中的敏感資料,但要在非線上環境中徹底落實,可能性不大。原因在於,應用程式開發者與測試人員往往對資料需要具備完整的存取權限。相較之下,資料庫中的資料若能經過遮罩後,再呈現出來,不論是一般使用者或特權使用者,當他們在存取資料時,因為所看到的內容都是經過遮蔽,即便擅自外洩,也必須要花很大功夫還原,而這也是為何資料遮罩能扮演重要角色的原因。
資料遮罩 vs. 資料庫加密
這兩種作法之間有一些相似處,都可以基於加密金鑰,來保護私密資料,但用途、技術與部署策略上仍有不同。例如在加密應用中,使用者拿到金鑰、輸入密碼後,可以解除加密,而在資料遮罩中,一般使用者並不能解除被遮罩的效果。
此外,加密技術的施行重點,在於防護資料免於受到來自外在環境的攻擊與資料外洩行為。而資料遮罩的應用目的,則主要針對防護內部使用者的濫用,範圍能涵蓋到特權使用者,同時,不需要管理加密金鑰,因為能否將遮罩資料反轉回原來形式,並非這種作法所要訴求的。
文章來源: http://www.ithome.com.tw/tech/87443
圖片來源:https://pixabay.com/
#資料遮罩 #data masking #敏感資料 #資料庫稽核 #DATABASESECURITY