台灣資安思維 駭客練兵天堂 #資安 #駭客
張鐸/樹德科大資訊管理系副教授(高雄市)圖/美聯社資料照
近日資安事故頻傳,先是券商大規模被駭客攻擊,上周又傳出外交部領務局遭駭。其實全球恐攻陰影未散,二年前資安界就曾發出警訊,資安漏洞將成為駭客發動新一輪零時差攻擊的入門磚。
面對此波資安問題,行政院邀集各部會盤點資安人力,驚覺專職人力缺口合計多達一千多人,未來將透過內部調整、暫時委外及約聘雇等方式因應。可見行政院的態度依然是頭痛醫頭,腳痛醫腳。
以前認為安裝防火牆就可以防毒、防駭;後來指派各部門副主管兼任資安長,以為資安問題就可解決;現在則是天真地認為補足資安人力,就不會有資安問題了。
資安問題屬管理層面,它是「面」的問題,絕不是從安裝防火牆、安裝入侵偵測系統、增派資安人力等這些「點」的技術問題。駭客入侵是從「面」的搜索,找到可以入侵的「點」(資安漏洞),然後駭入。要落實資安,必須從駭客角度來檢視有哪些漏洞;這些漏洞可能發生在硬體、軟體、使用資訊系統的人、以及資訊作業的程序上。
行政院宣布將訂定資安專法,首波鎖定高科技園區、資通訊、水資源、銀行與金融、交通、能源、緊急救援與醫院等八大關鍵基礎建設。在物聯網被高舉為國家發展重點的此時,不從更寬廣物聯網範疇去思考資安專法,而是鎖定特定產業與基礎建設,會不會有點突兀?
我國資安思維真的這麼難從技術層面跳到管理層面嗎?補足了一千多個專職的資安人力,從此就不會再有駭客入侵?
此種將資安事件當成技術問題的思維,一日不改,台灣永遠是駭客練兵的天堂。
Search