保華資安談營業秘密 外洩之防範

台灣是科技之島 但營業秘密外洩案例層出不窮

 

台灣被稱為「科技之島」在全球半導體產業中扮演著核心角色，整體半導體供應鏈及電子產業，對台灣整體經濟產值具有顯著影響，台灣擁有大量的專業人才，在科技、資通訊、生技領域的專業素養足以匹敵歐美先進國家，產業的營業秘密更是企業的核心資產，但近年來營業秘密外洩案例頻傳，對台灣的產業競爭力造成極大的威脅。

 

例如近期某美商營業秘密遭竊，身為高階主管卻在離職前下載大量公司產品資料、客戶名單等，且在離職後自立門戶，同有高階主管洩密之案例，也有某大廠充電樁技術機密遭竊，並攜往對岸。

 

但不只是高階主管才會洩密，其他員工侵害營業秘密之案例亦所在多有，如某半導體測試廠，員工擅自下載多項機密資料後，陸續離職跳槽至同業；某專案經理在電池材料大廠入職之試用期間內，非法下載價值新台幣20億元的產品營業秘密帶走，其他資訊業者亦有相關案例，例如遭知名資訊業者的前協理及三名同事，在離職後登入公司雲端資料庫竊取營業秘密資料，且自立門戶。

 

企業營業外洩 影響深遠

保華資安總經理于浩文提起近日的營業祕密外洩案例，認為企業在創新過程中，重要製程技術極為複雜，必然投入大量成本反覆試驗及試誤，一旦外洩或遭遇商業間諜，競爭對手可迅速追趕，縮小技術差距，競爭對手可利用這些機密資料開發出性能相近的產品，削弱原廠的市場競爭力，搶佔市場先機。

 

台灣對防止營業秘密外洩措施，可以從法律環境、企業文化、技術防護措施等進行多方面探討，台灣雖有「營業秘密法」來保護企業的營業秘密，並對侵害營業秘密的行為進行處罰，但常見企業因保護措施及對營業秘密的認知不足，影響其法律威懾力，這代表台灣企業在保護營業秘密保護的意識仍有加強空間，雖然台灣資安產業發達，對於存取權限、資料加密、異常存取警示監控等，並非所有企業都能夠或願意投入足夠的資源。

 

保華資安技術總監顏宏雋指出，時下對營業秘密的管理，困難之處在於對企業的營業祕密認定困難，機密資料不斷的累積及滾動，究竟納管的時機點為何，能否對整個研發部門進行強力監督，對企業來說是成本投資效益的重大難題，若在發生營業秘密侵害案件時，才發現需要舉證被侵害的是公司的營業秘密，才後悔前期沒有進行盤點，並判斷秘密性、創新性及經濟價值，已經來不及了。

 

只有試著進行營業秘密盤點，才會發現許多過去所沒有認知防護漏洞，並據以強化，證明企業有適當的營業秘密保護措施。

 

營業祕密保護必須更全方位

 

保華資安副總經理林軒宇，過去對於企業之機密資料保護措施，有豐富的經驗，林軒宇融合資訊安全與營業祕密法律要件的專業能力，指出營業秘密的保護有別於傳統的資訊安全，亦無法單純從存取權限著手，如果競爭對手透有意挖角，或是心懷鬼胎的員工，原本就想趁離職帶走機密資料另起爐灶或者帶槍投靠，那麼將十分難以預防。

 

畢竟能接觸到最機密資料的，都是公司舉足輕重的重要人物，如何翻轉控管軸線，真正落實「Need To Know」及「Four Eyes Principle」，這不只是從流程進行改造，還要從所有人的觀念開始改起，如果只是單純的考慮在控管措施上強化，減少機密被夾帶、越權存取等外洩的機會，雖然在技術上可行，但相關的投資成本會大幅攀升，也減緩了組織運作效率。

 

林軒宇接著舉例，為了增加效率，常見組織之資訊人員或是RD，因為本身具有資訊專業，認為公司配發的電腦效率太慢，且認為自己不會影響組織資訊安全，於是攜帶私人NB上班，甚至是由基層主管帶頭，「公私不分、無法監控私人設備，這都是很不好的示範」。

 

若是想申除這種行為，並且將全部員工的電腦都裝上監控軟體，將員工的上網行為、即時通訊、USB的活動全都進行記錄與監控，勢必投入大量的成本及人力，並且為了不影響工作效率，整體企業的資訊化及資訊設備升級，也勢在必行，這代表必須有高階主管的支持。

 

 

「會游泳的人，也是常會溺水的人。」如何妥善管理營業秘密是一門困難的學問，對身懷秘密資訊的人員強化監控，避免其以效率為理由鑽漏洞，當這些人員打算離職，回頭檢查過去特定期間內的電子郵件、通訊紀錄等，藉此判斷是否可能會有「家賊」出現，避免商業機密外洩。

 

 

林軒宇接著說明，針對高價值資料，可採用目前最新零信任架構，透過將使用者帳號的動態屬性（如多因子認證狀態、裝置安全等級、連線行為分析、地理位置資訊、存取資料敏感度等）納入每次存取的授權決策中，並搭配持續性驗證機制（如閒置狀態、異常資料存取行為等，進行重新驗證），可動態調整存取權限，實現精細化的存取控制。

此外，透過資料分級、分類、標籤等機制，可精確掌握資料的敏感度，並依據不同資料類別設定相應的存取控制策略，針對組織營業祕密，更建議採用「Just-in-Time Access」（JIT Access）模式，僅在使用者提出存取請求，且通過嚴格授權審核後，才授予最少必要的存取權限，且存取時間與範圍均受到嚴格限制。

 

但最後，問題還是人心，企業不能想著透過高薪挖角，非法使用其他公司的機密資料，以快速提升組織業績及跨越技術障礙，員工們不能想著挾機密資料自重，跳槽後領取高薪。

 

林軒宇以此做出3項總結：

1. 組織之營業秘密應符合法律保護的要件。
2. 研發或規劃中的資料，應有申請專利權或其他智慧財產保護認知
3. 應有適當管理程序，降低內部人員或與其他單位、個人合作或委外時，發生侵害營業秘密之風險。

 

以上文章由保華資安提供，意者請洽:0800-205-558