本文出自

擴增實境:大賺數位財

擴增實境:大賺數位財

2017年11月號

打造保護核心資產的安全防線

解讀〈企業駭客任務〉
吳宗成 Tzong-Chen Wu , 採訪整理 ■ 李郁怡 Eve Li
瀏覽人數:6720
資安事件頻傳,企業決策高層往往也稱資訊安全是管理優先要務,但為什麼大多數企業卻對資訊安全投資不足?台灣科技大學資訊管理學系特聘教授吳宗成,剖析台灣企業資安管理現況與迷思,並提出建言。

資安事件頻傳,企業決策高層往往也稱資訊安全是管理優先要務,但為什麼大多數企業卻對資訊安全投資不足?台灣科技大學資訊管理學系特聘教授吳宗成,針對本期〈管理新趨勢:企業駭客任務〉系列文章(請見〈打擊駭客三部曲〉、〈網路安全六大共識〉、〈員工是最佳防駭軟體〉),剖析台灣企業資安管理現況與迷思,並提出建言。以下為內容摘要:

如果畫出一條常態分布曲線,來看台灣資訊安全管理現況;曲線前端占總數10%~15%的組織,非常重視資訊安全,投入的資源與人力也很多。這些組織包括政府,以及具國際競爭力的大型企業,像鴻海、台積電等。而曲線中間占總數70%~80%的組織處於「雖然認為資訊安全很重要,但是投入嚴重不足」,台灣大多數企業都在這個位置;至於處於曲線末端的10%~15%的組織,是對如何保護資訊安全沒有概念的一群,很多規模更小的中小企業處在這端。

為什麼會有70%~80%的高比例台灣企業,對資訊安全投資嚴重不足?有兩種關鍵因素:第一,節省成本的心態,企業認為資訊安全費用太高;第二,企業對於資訊安全一旦出現漏洞,可能會造成的損失,認識不夠。

觀念釐清1.資安作為核心資產的保險

組織在決定要投入多少資源在資訊安全管理上,與它擁有的資產價值,以及風險意識高低有關。如果企業認為自身需要保護的資產多,對風險意識也高,投入就會多,建立的資安防線也就愈嚴明;反之亦然。

舉例來說,在〈打擊駭客三部曲〉一文中,談到多數企業泰半選擇「集中式」的監控方式,而非「分散式」的網路安全架構。表面上,這是在談技術應用的選擇,但其實,資安技術應用的選擇,往往與企業的管理需求有關。為什麼企業泰半選擇集中式網路安全架構?理由在於管理方便,而且節省成本;相對的,分散式的管理雖然可以分散駭客竊取資訊的風險,但管理上比較麻煩,而且一旦授權出去,雖然有授權規定與機制,但也可能產生「將在外、君命有所不受」。目前也有許多企業選擇更為先進的模式,在資訊入口採取集中管理,但在入口之內,則授權分散管理模式。

不過,資訊安全架構愈完整先進,企業要付出的成本可能愈高。這時,企業決策高層一定會考慮:「我要保護的資產,是不是這麼有價值,值得付出這麼高的代價?」

觀念釐清2 不對稱戰爭,

兵力不能是零

然而,許多台灣企業決策者對全球資訊安全風險的認識並不深,所以他們也不理解企業的核心資產曝露在什麼威脅下。

〈管理新趨勢:企業駭客任務〉系列文章中提到了好幾個國際企業,因為資安管理不到位,而承受巨額損失的例子。雅虎因為客戶個資外洩影響威訊(Verizon)的合併案價格,損失3.5億美元機會成本,甚至整筆交易幾乎告吹。另外,資安管理有漏洞的企業,駭客可能會攻進去智慧電網,讓製造產業的生產停擺,更不用說全球金融產業每年被駭,造成以百億美元計的巨額損失了。

然而,許多台灣企業總是僥倖覺得,這些資安事件不會發生在自己身上。直到去年夏天第一銀行ATM被駭,被盜領約新台幣八千萬元敲下第一聲警鐘,接著,今年10月,遠東商銀資訊系統被侵入,新台幣18億元差點被匯到國外,敲下第二聲警鐘。台灣許多金融業者這才發現,原來國際駭客無國界,他們也是被攻擊對象。

台灣一銀與遠銀的資安事件背後,是一條全球化的「黑色產業鏈」。如今國際駭客的攻擊主流模式,早就不是過去孤狼尋求「揚名立萬」的單一零星攻擊,而是一群有分工、有組織的謀利行為。駭客尋找標的,以「看起來有機會成功獲利」的目標優先。他們寫了程式,用機器投石問路,一旦發現被攻擊對象的資訊安全管理有漏洞,就「軟土深掘」,快速發動進一步攻擊。他們在攻擊一銀、遠銀時心態是什麼?可能是:「喔,這家公司看起來很有錢的樣子,試試看能不能得手。」

每一家企業都可能成為駭客攻擊的對象,而駭客是不是得手,要看企業的資安漏洞有多大。這也是本期〈管理新趨勢:企業駭客任務〉系列文章之中提到,資訊安全的管理,「防守比攻擊更難」的原因。也因此,文章不只一次強調,組織全員必須有足夠教育訓練,單靠少數的資訊管理人員,不可能全面防堵駭客投石問路,像是送出釣魚、綁架信郵件等等攻擊陷阱。

儘管如此,資訊安全的戰爭,可以是不對稱的戰爭。對方如果有百萬網軍,但我手中有訓練精良的一萬資安部隊,也有良好的資安治理機制,即使雙方對戰兵力懸殊,也可以有效防禦。

資訊安全戰爭雖然可以不對稱,但不可能是「零兵力」戰爭。資訊數位技術近年以五年出現一世代差距、十年一次技術革命的速度進展,這些駭客的思考模式、攻擊方法,也隨著資訊科技進步而日新月異。但許多台灣中小型企業,儘管已有數百甚至上千員工,但平時只有一、兩位MIS(Management Information System)資訊系統管理人力,這些人執行日常管理的時間都不夠了,其中即使有人有意願主動去學習,很多企業也沒有意願出錢、給假讓他們定期接受教育訓練。但當他們對於駭客攻擊行為與心態一無所知,等於是讓企業處於資訊安全防線「零兵力、零武器」的情況。

成本與防線兩難,取捨標準為何?

至於當企業面臨投入資源和成本資訊安全兩難時,投入資源的多寡,關鍵在於:「你有沒有重要的資產需要保護?」

從這個角度看,資訊安全管理就像是「保險」。核心概念是為了降低企業承受關鍵資產一旦損失的風險。而資訊長扮演的其實是風險管理者的角色。因此,企業對於資訊安全的成本投入,與資產價值應該相稱。

保護關鍵資產正是在常態分布曲線前10%~15%的組織,格外重視資訊安全管理的理由,因為政府擁有的資料資訊是公共財,大型企業集團則擁有攸關競爭成敗的智慧財產權,這些都不容閃失。

至於處於常態分布曲線70%~80%的台灣企業,千萬要意識到,不要讓企業處於「零兵力、零武器」又「高曝險」的情況下。目前政府提供各種資安免費教育訓練課程,企業要儘量鼓勵員工參與。如果連基本的人力問題都無法解決,這時要談資安的策略與人才培養,也太不實際了。

然而,資訊長在進行資安機制設計時,也要考慮:「企業內最有價值的資產是什麼?」「如果被偷了,會不會讓執行長被迫下台?」我會建議資訊長以此與企業決策者溝通,縮短認知差距,爭取組織資源。



吳宗成 Tzong-Chen Wu

台灣科技大學資訊管理系特聘教授。曾任中華民國資訊安全學會理事長、台灣科技大學管理學院院長。研究專長為電腦密碼學與資訊安全、資料庫設計、資料工程。



本篇文章主題安全與隱私