數位鑑識 防杜資訊危機最後防線

內控資源投入與成本控制究竟孰輕孰重，總在台灣企業主的決策思維裡拉扯，因成本考量而犧牲內控的狀況相當常見，然而現今進入全面資訊化環境的時代，對於稽核與內控帶來了更嚴峻的挑戰。在資訊與稽核人員配置不多的企業中，遭遇內外部事件時常會措手不及而錯失蒐證良機，而精簡控管帶來的侷限性，導致可能面臨的數位證據困境，包含：駭客變臉詐騙、員工不當行為所衍生的營業秘密外洩或背信。若善用數位鑑識科技，將可協助企業減少危機發生機會且掌握先機，面對法律訴訟時亦可取得優勢，減少企業損失。

企業常見證據困境：數位跡證不足難以追查

駭客變臉詐騙最典型的情境，即穿插混雜在與海外公司貿易往來的英文對話中，待時機成熟時冒充對話對象通知匯款帳號的變更，導致自身或海外公司付款到錯誤帳戶，並被迅速轉走，此時可能因為公司郵件方案容量有限而毫無備份機制，或是郵件伺服器無法留下任何跡證，難以追查過去潛伏的偽冒行為。

而員工不當行為也是常見的情境，例如當員工離職一些時日後，公司才經由客戶或廠商告知發現，新出現的競爭同業竟然有完全一樣的報價資訊或產品規格，甚至變成整批員工的跳槽據點。往往企業欲追溯員工在職期的資訊軌跡，才發現種種因為撙節成本，像是離職時電腦直接交由其他人開始使用，或使用免費信箱收發公司信件，甚至鼓勵補貼員工自購電腦上班等措施，反倒使數位證據陷入容易滅失或缺乏之情境，進而對企業舉證造成重重阻礙。

以數位鑑識為企業做好證據準備優勢

對於駭客詐騙或員工不當行為情境，若公司人員不知該如何在現有環境下嚴謹地運用數位鑑識完成證據保全與協助調查舉證，以達成損失調查或事件自清之目的，對於後續可能面臨的訴訟甚至跨國求償等，都將有嚴重的影響。因此，企業應建立雙重面向的防護措施，在面對可能訴訟時得以突破數位證據困境，更積極地管理法律風險。

第一種面向是內部證據環境的完備，企業應自我檢視重要系統主機，如財務ERP系統、郵件主機與帳號管理系統等，以及關鍵人員電腦是否都具備一定期間可供追溯的數位證據，例如系統的存取連線紀錄、人員的使用紀錄等。最簡易的自我評估基準即模擬某種情境發生後，公司是否能找出足夠資料可供佐證，若無法通過自我評估，表示須強化證據環境的完備性。第二種面向是對於證據保全的正確認知，如何在事件發生時做到正確且基本的數位證據保全，端看企業是否有對應的資源可協助，如具備參與過基礎證據保全訓練的人員，或有基本數位鑑識證據保全工具可使用，或已有掌握內部資訊環境的外部專業鑑識人員配合進駐處理。

企業在資訊化的浪潮下，應警覺資訊犯罪手法會隨著科技發達而更難提防，數位鑑識是資訊危機應變的基本及最後防線，若能良好運用就能使企業得以鞏固數位證據環境並完整證據保全，且在面對各類內部事件時能做好準備，擁有充分證據優勢以因應法律訴訟風險，減少企業商業損失。

（本文已刊登於 2020-08-07 經濟日報 B5 經營管理版）