跳回主要內容
main content, press tab to continue
觀點分享

牆夠厚就不怕「駭」?請改掉錯誤資安思維

2018年8月13日

許多企業看待資安風險,仍然是「築牆思維」,認為只要買最新最好的設備與軟體,就可以將資安危害拒於門外。以為只要 IT 部門架上拒馬、設上重重關卡,企業就可以高枕無憂。但真相是:以設備採購掩蓋系統漏洞,反而阻礙面對真正關鍵問題。其實資安,是從策略到文化的體質問題。
|Risk and Analytics
N/A

2016 年七月,台灣某大型行庫系統被駭客入侵,短短幾天之內,國際犯罪集國在全台灣 41 處 ATM 提款機提領了八千多萬元。是該銀行系統太差嗎?不見得。同一個犯罪集團在全世界入侵了超過 100 間銀行,盜領超過 10 億歐元 (超過 350 億台幣)。這起事件給企業什麼樣的提醒?

【資安,不只是 IT 的事】

據後來調查,駭客集團入侵該銀行的資訊系統,過程極為迂迴複雜。先是駭客以假身分大量發送商業信件給該銀行的行員,該行在倫敦分行的員工下載了附件,因而中毒。

該員工由於業務需要,使用個人電腦連上公司系統,下載檔案時帶入了病毒。駭客也就用這個後門,一步步破解銀行資安系統,最後達成盜領。

數萬員工中,只要有一個人、一個行為錯誤、給駭客一條細縫,資安高牆就形同瓦解,全球超過一百個銀行都沒有防堵住這個駭客集團的入侵。而現在,大大小小的駭客入侵事件,在全球隨時都在上演。

不少人還以為,要改善資安,就應該由 IT 部門負責減少資訊系統的漏洞,以及花錢買防毒軟體。當企業出現資安危害時,許多人想到的也是由 IT 部門主管承擔責任。

這樣的想法,其實已不適合今天的時空環境了。企業不可能靠「築夠厚的牆」來擋掉所有駭客,而企業資安課題也絕不是 IT 部門能獨立支撐的責任。

【牆夠厚?不可能】

網路通訊公司 Cisco 的創辦人曾這樣說:世界上只有兩種企業,一種是知道自己中過電腦病毒,另一種則不知道。

換言之,要企業系統不中病毒、永遠不被駭客找到漏洞,是不可能的。為什麼?

第一個原因是電腦程式的穩定性。程式是人寫出來的,難免會出錯,這也是為什麼電腦程式(包括手機內APP應用程式)每隔一段時間就需要更新。專家普遍承認,每 1000 行程式就可以被找出有 20 個漏洞。由於一套商用軟體至少有上千萬行程式,整台電腦中有多少軟體、多少程式,有多少潛在漏洞?數量驚人,防不勝防。

另一個因素則是現在可與網路互聯的設備不但形態多樣而且數量龐大,例如監控攝影機、產線上的控制器…這些機器都有運算處理能力,可被視為微型電腦,但卻很難升級維護。在 2017 年,連加油站、提款機主機、火車站行程看板都受到全球勒索軟體的魚池之殃。這些設備極易被駭客綁架操控,甚至成為入侵主要系統的跳板。

【資安新策略】

企業資安是一個極複雜、困難的課題,各行各業術業有專攻,讓 IT 部門負全責是不合理的。就像是房屋水漏,不該找室內設計師負責一樣。企業的資安策略,至少該有以下跨部門參與:

  1. 風險部門:過去風險部門主要因應財務與工安風險,但對於資安風險甚少著墨。企業裡有個不可少的角色,需站在風險控管的立場規劃保險以及緊急應變機制。有些公司將這樣的角色放在法務部門或工安部門之下。
  2. 資安部門:自 2017 年起,許多大型銀行都設立了「資安長」職務。獨立於 IT 部門之外,與風險部門合作進行資安政策與資安風險評估。在《資通安全管理法》上路施行之後,政府機關也需設置「資安長」,以負責相關業務。
  3. 人資部門:資安問題,從來不是單純的設備問題與科技問題;許多漏洞,都源於員工的使用習慣。因此,教育訓練與誘因設定都非常重要。而不同的層級、部門、工作內容,在資安上也得有不同的權限與行為準則。這些都得由人資部門協助制定與推行。這可以參考2018年本公司與英國經濟學人智庫(EIU)合作的報告。

因應駭客「木馬屠城」的戰術,IT「築牆思維」不再一體適用。《資通安全管理法》也強調,特定機關隱匿資安事件者最高將重罰 500 萬元。惟有從風險管理思惟,跨部門著手主動監控備戰,才能避免「被駭仍狀況外」的窘境。

欲了解更多網路風險,請下載網路風險手冊。 若您有任何問題或需求,歡迎聯繫我們

Related content tags, list of links 觀點分享 網路風險管理 風險分析諮詢 台灣
Contact us