警察筆錄P2P外洩，資安政策難落實

日前爆發部分警察機關因為使用P2P軟體，導致許多報案記錄和筆錄透過檔案分享而外洩。警政署雖然事後積極補救，但在警政署等主管機關早已三令五申，警察機關不得安裝P2P軟體的情況下，仍發生這樣的資料外洩事件，這也證明，公部門資安政策的落實與管控，仍有很大努力的空間。

繼日本在去年發生P2P軟體Winny，大量外洩日本重要軍事情資以及個人稅籍資料後，臺灣日前也發生同樣的狀況。有部分警察人員在公用電腦內，安裝P2P軟體Foxy，使得一般人以關鍵字「筆錄」搜尋，就可以查詢到詳載許多個人資訊的報案筆錄，已經成為公共分享的檔案。

從4月12日起，警政署就已經移除58個可疑檔案，4月13～16日期間，也陸續移除40個可疑檔案。警政署科技犯罪防制中心主任李相臣表示，除了持續監控網路上分享原先警局外洩的筆錄檔案，要求檔案擁有者自行清除外，也透過Foxy臺灣代理商與美國原廠協議，在未來限制某些關鍵字的搜尋，例如筆錄、警察局等，降低資料外洩的疑慮。但P2P軟體的特性在於，已經分享的檔案資料，如同潑出去的水，已經收不回來了。

李相臣說，去年10月就已經透過專報，提醒P2P軟體對於資料外洩造成的危害，也曾經發新聞稿提醒警察相關單位注意，但成效不彰。這種情況也印證，掌握民眾個人資料的警察機關，對於資安威脅的警覺性，竟與一般民眾相同。

由於警察與軍方一樣，都有自己專屬的通訊網路，李相臣說，這一次Foxy事件發生後，各警察機關在防火牆政策設定上，將更為嚴格外，也加強督導與稽核，禁止各種不當軟體下載，以及禁止透過USB隨身碟將公文資料帶回家，一旦查到將予以嚴懲。

行政院研考會檔案管理局組長趙培因表示，研考會下令各機關部門禁止使用P2P軟體，在GSN政府網路環境中，也會有稽核軟體嚴格查緝非法安裝的軟體，杜絕可能的資安威脅。她說，警察機關在勤務重於資安的前提下，也使得警察機關對資安威脅的警覺性較低。

資安廠商Fortinet全球首席行銷長Richard Stiennon表示，這種因為安裝P2P軟體導致資料外洩的情況，在國外較為少見，主要仍以即時通訊（IM）導致的資料外洩居多。Richard Stiennon說，對企業而言，只要有良好的資安管控政策並予以落實，禁止安裝P2P軟體並積極查驗，就可以有效遏止P2P軟體造成的資料外洩。

因為業務上面的需求，必須使用IM與客戶溝通的群益證券，該公司執行副總裁賈中道表示，該公司使用微軟的LCS作為溝通的工具，「重點不在於用哪一種工具，而在於能不能把溝通過程中，翔實的記錄下來。」他也說，不論是公、私部門，唯有切實落實資安政策，才能杜絕可能資料外洩的疑慮。文⊙黃彥棻