保華資安談營業秘密 外洩之防範
台灣是科技之島 但營業秘密外洩案例層出不窮
台灣被稱為「科技之島」在全球半導體產業中扮演著核心角色,整體半導體供應鏈及電子產業,對台灣整體經濟產值具有顯著影響,台灣擁有大量的專業人才,在科技、資通訊、生技領域的專業素養足以匹敵歐美先進國家,產業的營業秘密更是企業的核心資產,但近年來營業秘密外洩案例頻傳,對台灣的產業競爭力造成極大的威脅。
例如近期某美商營業秘密遭竊,身為高階主管卻在離職前下載大量公司產品資料、客戶名單等,且在離職後自立門戶,同有高階主管洩密之案例,也有某大廠充電樁技術機密遭竊,並攜往對岸。
但不只是高階主管才會洩密,其他員工侵害營業秘密之案例亦所在多有,如某半導體測試廠,員工擅自下載多項機密資料後,陸續離職跳槽至同業;某專案經理在電池材料大廠入職之試用期間內,非法下載價值新台幣20億元的產品營業秘密帶走,其他資訊業者亦有相關案例,例如遭知名資訊業者的前協理及三名同事,在離職後登入公司雲端資料庫竊取營業秘密資料,且自立門戶。
企業營業外洩 影響深遠
保華資安總經理于浩文提起近日的營業祕密外洩案例,認為企業在創新過程中,重要製程技術極為複雜,必然投入大量成本反覆試驗及試誤,一旦外洩或遭遇商業間諜,競爭對手可迅速追趕,縮小技術差距,競爭對手可利用這些機密資料開發出性能相近的產品,削弱原廠的市場競爭力,搶佔市場先機。
台灣對防止營業秘密外洩措施,可以從法律環境、企業文化、技術防護措施等進行多方面探討,台灣雖有「營業秘密法」來保護企業的營業秘密,並對侵害營業秘密的行為進行處罰,但常見企業因保護措施及對營業秘密的認知不足,影響其法律威懾力,這代表台灣企業在保護營業秘密保護的意識仍有加強空間,雖然台灣資安產業發達,對於存取權限、資料加密、異常存取警示監控等,並非所有企業都能夠或願意投入足夠的資源。
保華資安技術總監顏宏雋指出,時下對營業秘密的管理,困難之處在於對企業的營業祕密認定困難,機密資料不斷的累積及滾動,究竟納管的時機點為何,能否對整個研發部門進行強力監督,對企業來說是成本投資效益的重大難題,若在發生營業秘密侵害案件時,才發現需要舉證被侵害的是公司的營業秘密,才後悔前期沒有進行盤點,並判斷秘密性、創新性及經濟價值,已經來不及了。
只有試著進行營業秘密盤點,才會發現許多過去所沒有認知防護漏洞,並據以強化,證明企業有適當的營業秘密保護措施。
營業祕密保護必須更全方位
保華資安副總經理林軒宇,過去對於企業之機密資料保護措施,有豐富的經驗,林軒宇融合資訊安全與營業祕密法律要件的專業能力,指出營業秘密的保護有別於傳統的資訊安全,亦無法單純從存取權限著手,如果競爭對手透有意挖角,或是心懷鬼胎的員工,原本就想趁離職帶走機密資料另起爐灶或者帶槍投靠,那麼將十分難以預防。
畢竟能接觸到最機密資料的,都是公司舉足輕重的重要人物,如何翻轉控管軸線,真正落實「Need To Know」及「Four Eyes Principle」,這不只是從流程進行改造,還要從所有人的觀念開始改起,如果只是單純的考慮在控管措施上強化,減少機密被夾帶、越權存取等外洩的機會,雖然在技術上可行,但相關的投資成本會大幅攀升,也減緩了組織運作效率。
林軒宇接著舉例,為了增加效率,常見組織之資訊人員或是RD,因為本身具有資訊專業,認為公司配發的電腦效率太慢,且認為自己不會影響組織資訊安全,於是攜帶私人NB上班,甚至是由基層主管帶頭,「公私不分、無法監控私人設備,這都是很不好的示範」。
若是想申除這種行為,並且將全部員工的電腦都裝上監控軟體,將員工的上網行為、即時通訊、USB的活動全都進行記錄與監控,勢必投入大量的成本及人力,並且為了不影響工作效率,整體企業的資訊化及資訊設備升級,也勢在必行,這代表必須有高階主管的支持。
「會游泳的人,也是常會溺水的人。」如何妥善管理營業秘密是一門困難的學問,對身懷秘密資訊的人員強化監控,避免其以效率為理由鑽漏洞,當這些人員打算離職,回頭檢查過去特定期間內的電子郵件、通訊紀錄等,藉此判斷是否可能會有「家賊」出現,避免商業機密外洩。
林軒宇接著說明,針對高價值資料,可採用目前最新零信任架構,透過將使用者帳號的動態屬性(如多因子認證狀態、裝置安全等級、連線行為分析、地理位置資訊、存取資料敏感度等)納入每次存取的授權決策中,並搭配持續性驗證機制(如閒置狀態、異常資料存取行為等,進行重新驗證),可動態調整存取權限,實現精細化的存取控制。
此外,透過資料分級、分類、標籤等機制,可精確掌握資料的敏感度,並依據不同資料類別設定相應的存取控制策略,針對組織營業祕密,更建議採用「Just-in-Time Access」(JIT Access)模式,僅在使用者提出存取請求,且通過嚴格授權審核後,才授予最少必要的存取權限,且存取時間與範圍均受到嚴格限制。
但最後,問題還是人心,企業不能想著透過高薪挖角,非法使用其他公司的機密資料,以快速提升組織業績及跨越技術障礙,員工們不能想著挾機密資料自重,跳槽後領取高薪。
林軒宇以此做出3項總結:
- 組織之營業秘密應符合法律保護的要件。
- 研發或規劃中的資料,應有申請專利權或其他智慧財產保護認知
- 應有適當管理程序,降低內部人員或與其他單位、個人合作或委外時,發生侵害營業秘密之風險。
以上文章由保華資安提供,意者請洽:0800-205-558
點關鍵字看更多相關文章
延伸閱讀
中保科技助台北101守護全球最貴聖球安全 最強AI監控技術搭配維安團隊首度曝光
大谷翔平1.4億「50/50紀念球」13日將於台北101展出,維安團隊正面臨前所未有的挑戰! 為了保護全世界棒球迷心目中的聖球,台北101特別邀請台灣科技保全第一品牌中保科技集團協助,進行三個月AI安防服務,將AI技術整合進維安方案中,利用先進AI影像辨識系統,搭配精英維安團隊,以及24小時連線的防
中保科 獲肯定傳佳績 榮獲外資精選百強及國家品牌玉山獎《傑出企業類》獎 表彰品牌與市場卓越成就
中保科(9917)近日頻傳佳績,除獲2024外資精選台灣100強,顯示在市場面、基本面、永續面等三個標準均受到肯定。此外,第21屆國家品牌玉山獎評選中,也榮獲《傑出企業類》獎項,在21日頒獎典禮上,行政院鄭麗君副院長嘉許表達「謝謝,全靠你們守護我們」。