2016 年七月,台灣某大型行庫系統被駭客入侵,短短幾天之內,國際犯罪集國在全台灣 41 處 ATM 提款機提領了八千多萬元。是該銀行系統太差嗎?不見得。同一個犯罪集團在全世界入侵了超過 100 間銀行,盜領超過 10 億歐元 (超過 350 億台幣)。這起事件給企業什麼樣的提醒?
據後來調查,駭客集團入侵該銀行的資訊系統,過程極為迂迴複雜。先是駭客以假身分大量發送商業信件給該銀行的行員,該行在倫敦分行的員工下載了附件,因而中毒。
該員工由於業務需要,使用個人電腦連上公司系統,下載檔案時帶入了病毒。駭客也就用這個後門,一步步破解銀行資安系統,最後達成盜領。
數萬員工中,只要有一個人、一個行為錯誤、給駭客一條細縫,資安高牆就形同瓦解,全球超過一百個銀行都沒有防堵住這個駭客集團的入侵。而現在,大大小小的駭客入侵事件,在全球隨時都在上演。
不少人還以為,要改善資安,就應該由 IT 部門負責減少資訊系統的漏洞,以及花錢買防毒軟體。當企業出現資安危害時,許多人想到的也是由 IT 部門主管承擔責任。
這樣的想法,其實已不適合今天的時空環境了。企業不可能靠「築夠厚的牆」來擋掉所有駭客,而企業資安課題也絕不是 IT 部門能獨立支撐的責任。
網路通訊公司 Cisco 的創辦人曾這樣說:世界上只有兩種企業,一種是知道自己中過電腦病毒,另一種則不知道。
換言之,要企業系統不中病毒、永遠不被駭客找到漏洞,是不可能的。為什麼?
第一個原因是電腦程式的穩定性。程式是人寫出來的,難免會出錯,這也是為什麼電腦程式(包括手機內APP應用程式)每隔一段時間就需要更新。專家普遍承認,每 1000 行程式就可以被找出有 20 個漏洞。由於一套商用軟體至少有上千萬行程式,整台電腦中有多少軟體、多少程式,有多少潛在漏洞?數量驚人,防不勝防。
另一個因素則是現在可與網路互聯的設備不但形態多樣而且數量龐大,例如監控攝影機、產線上的控制器…這些機器都有運算處理能力,可被視為微型電腦,但卻很難升級維護。在 2017 年,連加油站、提款機主機、火車站行程看板都受到全球勒索軟體的魚池之殃。這些設備極易被駭客綁架操控,甚至成為入侵主要系統的跳板。
企業資安是一個極複雜、困難的課題,各行各業術業有專攻,讓 IT 部門負全責是不合理的。就像是房屋水漏,不該找室內設計師負責一樣。企業的資安策略,至少該有以下跨部門參與:
因應駭客「木馬屠城」的戰術,IT「築牆思維」不再一體適用。《資通安全管理法》也強調,特定機關隱匿資安事件者最高將重罰 500 萬元。惟有從風險管理思惟,跨部門著手主動監控備戰,才能避免「被駭仍狀況外」的窘境。