圖為勤業眾信鑑識工具箱內的專業鑑識軟硬體工具(拍攝日期:2012年11月)。

臺灣第一間取得國家認證的民間資安鑑識實驗室出爐了,勤業眾信聯合會計師事務所企業風險管理部門「資安科技暨鑑識分析中心」,日前取得臺灣認證基金會(TAF)通過ISO 17025實驗室品質認證。這是目前除了官方調查局資安鑑識實驗室之外,臺灣第二間資安鑑識實驗室。

參照先前調查局的實驗室規範,取得國際認證

臺灣勤業眾信企業風險管理部協理曾韵表示,ISO 17025是一個針對各種實驗室品質設計的國際標準,但是,臺灣資安鑑識相關產業都還在發展中,雖然實驗室有國際標準,但是怎麼找到合乎資安鑑識實驗室的標準,對臺灣認證基金會而言,一剛開始充滿了各種挑戰。因此,除了藉助國內資安鑑識專家學者的專業能力,協助制定可行的認證標準外,也參訪國外資安鑑識實驗室,作為未來驗證時的參考。

一個資安鑑識實驗室要獲得公信力,便可以藉由第三方的認證,將該實驗室的每一個流程環節以及標準作業程序(SOP)做規範,就可以大幅降低外部對於資安鑑識相關數位證據的疑慮。而曾韵說:「藉由通過ISO 17025實驗室品質認證,就是確保由該公司從擷取、保存到作為呈堂證供的數位證據,都具有足夠的證據能力。」

不同於法務部調查局資安鑑識實驗室是依法官或是檢察官的命令,進行數位證據的擷取、分析和保存,民間的資安鑑識實驗室往往都是接受客戶委託,先進行第一波的調查,擷取整個數位證據的過程,也必須合乎數位證據應該符合的證據能力,一旦委託的客戶決定進行後續的訴訟環節時,勤業眾信所取得的所有數位證據,都必須合乎可以作為數位證據之用的規範才行。

法務部調查局的資安鑑識實驗室,是臺灣第一間取得ISO 17025實驗室認證的單位,為了確保數位證據的證據能力,從法官、檢察官訴訟時,數位證據應該如何作為合法證據的角度,去落實各種實驗室認證的規範,並且綜合許多國外的參訪經驗,才順利完成調查局實驗室的認證。

而身為第二間想要取得資安鑑識實驗室認證的勤業眾信,本質雖然是民間機構,但重點仍在於所有數位證據的取證環節能否不被質疑、可以順利作為法院證據之用。因此,曾韵笑說,勤業眾信資安鑑識實驗室的驗證標準,其實就是和調查局的認證標準是一樣的。

曾韵表示,目前已經有金融業、電信業和電子商務產業的業者,和勤業眾信簽訂合約,希望能夠先在企業內部制定一套保全數位證據的標準作業程序,一旦發生問題時,第一時間可以由企業內部的資安人員依照標準程序,將現場的數位證據做到最大程度的保留,事後的採證可再交由後續抵達現場的專業數位鑑識人員。

為什麼要在企業內部自行打造一套對於數位證據保全的SOP,曾韵指出,主要是之前已經有許多次的經驗發現,當企業發生駭客入侵、資料外洩或者是DDoS事件等資安事件時,有些公司因為缺乏保全數位證據的概念,第一時間要不是拔網路線、關機;甚至還把電腦重灌,而這些都會消滅駭客入侵的軌跡,難以更進一步追查到真正的源頭。

她表示,有些公司雖然知道不能在資安事件第一時間拔網路線或者是電腦重灌,但為了調查受駭的緣由,便委由資安廠商進行調查。然而,這些廠商進到企業後,進行資安事件調查的第一件事情就是,先用自家的資安工具進行掃描,看看可能的問題點在哪裡。「當資安廠商先用工具對企業的網路環境進行掃描後,便已經破壞所有的跡證,現場都會是該資安廠商掃描的記錄了。」她說,企業內部建立一套現場數位證據保存的SOP對於追查駭客入侵的足跡,是有幫助的。


Advertisement

更多 iThome相關內容