每個電腦學位都該必修網路安全課程

Every Computer Science Degree Should Require a Course in Cybersecurity
傑克.凱博 Jack Cable
瀏覽人數:1615
美國24所最頂尖的大學中,只有一所要求必修網路安全課程。

軟體世界正為了網路安全問題而憂心。近年來,我們看到愈來愈多的安全恐慌事件,從俄羅斯介入2016年美國總統大選,到2017年信用風險評估公司Equifax遇駭外洩美國人的私人資訊,再到臉書(Facebook)的眾多資料外洩問題。更糟糕的是,情況似乎毫無好轉跡象。儘管全球眾多公司承諾「我們非常重視你的隱私與安全」,但過去六年來,世界各地已發生一千件以上的資料外洩事件。

問題是,許多公司缺乏誘因去維護我們的個人資訊,因為最大的懲罰也只是輕微的警告。企業經常為了其他的業務發展,而犧牲客戶資料的安全,因為在這方面的投資,通常無法立即產生財務利益。此外,若沒有一批精通網路安全的人才,企業與政府都不會、也無法改善處理方式。

我是網路安全研究人員,已在企業與政府系統中發現數百個缺失,因此我敢說,最嚴重的問題往往是最簡單的,這顯示企業必須回過頭來檢查資訊系統最基本的部分。觀察資料外洩事件,可發現一個顯著趨勢:所有案例的發生原因,幾乎都不是由於幹練的駭客利用新的漏洞,而是源於任何訓練有素人員都能發現的簡單錯誤。根據Equifax執行長的說法,該公司的資料外洩是一名員工犯錯造成的,而且很容易預防。道瓊公司(Dow Jones)發生資料外洩,只是因為一名員工錯誤配置了儲存用戶資訊的一部伺服器,將客戶資料暴露給該網站的任何一位公眾訪客。

已有充分證據顯示網路安全人才短缺的問題。根據其中一個消息來源,單單在美國,就有大約五十萬個職缺。雖然美國顯然迫切需要這類工作人員,但我懷疑,一般的網路安全人員,是否足以應付未來要打擊資料外洩與遭襲事件的需求。畢竟,在愈來愈受網際網路支配的世界中,軟體人員扮演極重要的角色。隨著網路連結不斷擴展,從網際網路擴展到我們的手腕、汽車和整個生活,網路安全對現實世界的安全將變得日益重要。如果企業不採取行動,安全狀態將保持不變,而風險卻飛快上升。

如果你問一般的軟體工程師,在他們的開發過程中網路安全扮演什麼角色,多數人的回應可能是「我沒有真正考慮到安全性」或「我需要安全性時,就會把它放進來」。其實,軟體開發人員對此毫無準備,甚至缺乏最基本的網路安全知識。在一項調查中,近70%的開發人員和資訊科技專業人員表示,他們在應用軟體安全方面的訓練「不足」,而86%的人表示,他們的組織對這類訓練的投資不足。結果,大多數開發人員把網路安全視為事後才考慮的事,是阻礙快速開發的額外步驟。但隨著資料外洩成為常態,這種典型做法必須改變。軟體工程師撰寫促進科技進步的程式碼,他們為何不應該對這些程式碼的安全性負責?

若要有系統地處理網路安全的問題,首先應該大規模地教育軟體開發人員。運用產業最佳實務,很容易就可以預防大多數資料外洩事件,因此少量知識即可發揮很大作用。美國在這方面缺乏準備,有一部分要歸咎於大學。美國24所頂尖大學的電腦科學課程中,只有一所將網路安全課程列為專業必修科目(我有查證過這一點)。唯一的例外是加州大學聖地牙哥校區(UC San Diego)。在其餘23所大學,學生不必選修任何一門安全課程,也可以獲得學位,然後去撰寫會影響我們日益依賴的各項裝置的程式碼。

我是史丹福大學(Stanford)的學生,有機會親眼見到下一代的電腦科學家與軟體開發人員如何接受培育。雖然這套課程在涵蓋電腦科學基礎知識與機器學習等熱門趨勢方面,做得很好,但在取得學位所需的必修科目中,明顯缺乏網路安全科目。史丹福大學提供給主修電腦科學學生的唯一實用安全課程,是為可能有興趣的人提供的選修課程。

由於史丹福大學和其他大學正在培養電腦科學家,而這些人勢必要為科技在未來數十年對我們世界的影響負起責任,因此大學有責任確保學生不僅能找到工作,而且在工作時能具有網路安全所需的注意力和精確度。因此,大學應該徹底改革取得學位的必修科目,讓電腦安全課程成為所有研習電腦科學的學生的標準科目。這類課程應該傳授建立安全軟體的基礎知識,包括常見的安全缺失、安全編碼實務和應用軟體安全性。透過這個課程,學生將學到建立安全的網際網路所需的技術知識,大學還可探索應用於整個社會運作的科技所造成的影響。

在改善全球安全方面,網路安全界目前處於停滯狀態。企業在雇用開發人員時,必須把網路安全方面的經驗列為優先考量項目;學校也必須提供成為面面俱到的開發人員所需的安全技能,讓學生做好準備。除非開發人員安全編碼的能力,被視為和他們編寫排序演算法的能力同樣重要,否則我們將繼續面臨大規模的問題。我們應該給予軟體工程師建立安全程式碼所需的基本知識,如此產生的成果將高於付出的代價。

(侯秀琴譯)



傑克.凱博 Jack Cable

原是編碼人員,後轉為從事網路安全防禦技術的白帽駭客(white hat hacker)。他是史丹福大學的學生,目前在安全漏洞懸賞平台HackerOne上排名前五十。2018年,傑克透過他對政府網路安全計畫的研究,成為獲得美國國防部安全許可證的人當中最年輕的一名。他也是Lightning Security的創辦人。2018年,傑克獲《時代雜誌》(Time Magazine)表彰為2018年最有影響力的25位青少年之一。


本篇文章主題安全與隱私