如何防止秘密洩漏-2013-8-15
五月時,愛德華 斯諾登(Edward Snowden)在離開國家安全局的同時,連帶將數千筆電子文件複本洩漏給媒體,此事件顯示政府部門存在安全漏洞,也指出組織內部人員的信任問題。
重點很簡單,組織需要可信的成員,但如何判斷哪些人可信?又該如何決定這些人的去留?
組織該如何自保呢?基本上,成員的信任度安全基於以下3個機制(如同我書中Beyond Fear所描述)。首先,根據條件來區隔;信任是必須以程度區分的,也就是僅給予成員足以完成他被指派的任務所需程度的權限、資訊和權力即可。軍事上,即使通過了必要程度的身家調查,軍官與士兵也僅被告知那些他們「必須知道」的事項,同理,也適用於公司與組織管理。。
並不只是單純的授予高層員工較高級的信任授權就好。例如,只有經過授權的裝甲車駕駛能夠解鎖自動提款機投入現金,這即使是銀行行長都無法執行。試想,組織內擁有信任授權的機制,一個被授權的成員,只能擁有他所需程度的最小權限。
在這樣的機制下,即使成員背棄了組織,他所能構成的傷害,也是有限。而這就是國安局敗在Snowden手上的主因,身為系統維護者,Snowden能夠存取許多機構的電腦系統,甚至能存取這些系統上的所有資料,這就是為何他能取得這麼多他並不需要被告知的文件複本。
第二個機制則是深度防禦(defense in depth);在這樣的機制下,能夠確保整個系統不會因為單一個人的作為而崩盤。國安局局長凱斯 亞歷山大(Keith Alexander)說,他目前所在的機構實施了所謂的雙人制(two-person control),也就是當需要執行高機密任務時,必須同時有兩人在場共同執行。
深度防禦降低了單一個人癱瘓系統的能力。若當時這個系統已經存在,那麼每當Snowden下載了一份重要的機密文件時,他的上司都會收到一份通知,那麼Snowden就會在他登上逃往香港的飛機之前被逮捕歸案了。
最後,組織必須確保成員是否值得信任;美國國安局以身家調查這個動作來確認成員是否值得信任,包括進行測謊和背景調查。許多組織在雇用新員工之前,也會參考國安局的做法,或是更進一步地進行信貸檢查與藥物檢測來確認該員工的背景。通常這些組織不會接受前科犯或者非公民的加入,而他們也可能只聘僱那些擁有特定組織所核發的證書或其他專業機構的成員,結果顯示這樣的做法相當有效,畢竟性格分析無法準確告訴你這個人是否可信,而加入機關認證和其他的測試,則能夠提升人員的可信度。
然而上述這些措施耗費相當大的成本,以美國最高等程度的身家調查(top-secret)為例,一次的調查約花費美國政府4000美元。對於一間公司而言,光是背景調查及其他審查的程序就非常昂貴,況且這些程序需要其他額外的時間來執行,這拖垮了招聘的流程,若公司屬於人員流動快速的類型,這類的程序甚至會影響到公司的正常運作。由於上述的安全審核成本昂貴,若引用雙人制更可以視為需要支付兩倍的成本,因此,安全性與效率及成本之間是需要依需求而權衡的。
而最好的防禦便是限制組織內信任授權的人數。儘管為時已晚,國安局局長Alexander還是試圖減少了國安局其中90%系統管理員,然而這個漏洞還只是冰山一角而已,畢竟美國政府中,擁有絕對機密權或是持有高度信任授權的員工高達4萬多人。
令人驚訝的是,Snowden能夠在下載了那麼多的機密文件後,還能夠安全潛逃到其他國家,在之前的案例中,也只有少數幾個人而已。這也說明了信任程度的管理有多麼重要。
最後有個建議,特別是針對如何對付告密者,在這樣一個資訊流通快速的網路時代,要達到完全的保密很困難,而告密也儼然成為一種非暴力的公民反抗行為。因此不管是公開或私人的組織機關要防範告密者時,最好的辦法就是別做那些會讓自己登上報紙頭條的事,因為這是一個影響市場波動的主因之一。關於告密這樣的行為,若發生於道德模糊界線上的事件,其中的關鍵文件或資料,都能構成告密物證,若能取得這些物證,就能以告密者的身分獲得一些獎勵。
在這資訊化的時代,要完全避免例如犯罪集團試圖委託銀行人員洩漏機密訊息或是客戶資料;又或是政府機構試圖刺探公民的隱私,這都是相當有難度的。
本文為【網路管理實驗室】協助翻譯
原文網址:https://www.schneier.com/blog/archives/2013/08/protecting_agai.html
