圖片來源: 
CC 2.0 by trokilinochchi

 作者  蒲樹盛

臺灣資安及稽核業界領導風險管理的資深專家。現任 BSI 英國標準協會臺灣分公司總經理,具備國際主導稽核及國際註冊講師資格、大學講師及中華民國電腦稽核協會常務理事等職務。

 

猴年過去了,真的像被猴耍了一樣,完全捉摸不清方向--英國脫歐、美國總統大選結果、各國政黨輪替、我們的一例一休......,似乎即將來到一個物極必反的年代!

雞年伊始,農曆年後就有駭客對金融證券業的DDoS攻擊,似乎也沒有大吉大利的好彩頭,看來2017仍舊會是一隻活蹦亂跳、行跡不明的跳跳雞,充滿變數與挑戰。在此分享幾個現象與觀點,除表達對大家的祝福外,更勉勵我們一起繼續為臺灣努力!

全球化與去全球化

因科技不斷創新突破,使得全球化分工成效顯著,卻也使得非製造區域就業機會減少。中國依舊高喊全球化(習先生一月份在WEF的演講),而美國及歐盟則開始進行貿易保護主義等去全球化動作,來反映全球化過程中出現的不平等現象。

高齡化與去高齡化

全球少子化嚴重,理應有個人口穩定的地球才對,事實卻不然,全球人口已達75億,相當於每年以一億左右的人口數持續增加中。

原因之一,是醫療及健康照護進步,帶來平均壽命延長的高齡化結果。但這樣的發展,也將導致:糧食不足、能源耗竭、醫療資源負擔、財政困境、健康及教育等各種人類生存風險問題。由於攸關人類的生命價值及生活品質,亦造成全球省思的機會,於是,有國家開始倡議類似安樂死的生命課題,以提高尊嚴,已有愈來愈多國家通過相關法案。

2017四大風險區塊

2017年1月世界經濟論壇(WEF)在達沃斯舉行全球會議,公布了2017最新的全球風險報告。

在這份報告當中,WEF透過全球威脅地景圖的方式,描繪了2017年全球所面臨的各種重大威脅,並且根據風險發生的可能性與衝擊來逐一定位,其中,可歸納為四大類風險議題:

1.環境的(Environmental)議題:

這是目前造成人類極大壓力的最迫切風險,包括氣候變遷及天然災難,全球必須立即採取行動,來減緩全球暖化及氣候變遷所帶來的長期衝擊。在未來的十年,環境風險恐將持續成為最大的全球風險。

雖然巴黎協議及2016的COP22會議,都提出了緊急聲明,但世界各國的動作依舊不夠快,令人非常擔憂地球的未來。

氣候變遷與天然災難,是目前造成人類極大生存壓力的最迫切風險,必須立即採取行動,來減緩全球暖化及氣候變遷所帶來的長期衝擊。而且,在未來的十年,環境風險恐將持續成為最大的全球風險。(圖片來源/CC 2.0 by trokilinochchi)

2.社會經濟的(Socio-economic)議題:

這些議題包括:收入失衡的經濟問題持續嚴重、社會兩極化(民族、宗教及文化)等伴隨發生的各種情境現象,將加劇2017的社會及經濟風險。

例如:各國財力不足,無法支撐其社會保護系統,就可能會增加稅賦;企業成本增加獲利不易,衍伸出非傳統聘僱模式,如zero-hour contracts(零時工合約,類似派遣工雇用模式,老板有任務給你時才算工作,需隨叫隨到,工作多少就拿多少酬勞,没有工作就没有薪水,自然也沒有所謂的病假、年假或養老退休。);低收入加上全球長期的低利率,導致退休存款的負擔增加;前面提過的人口壓力、老化人口、大量遷徙等,都將過度拉緊已困難重重的社會保護系統,進而造成更大的個人風險及成本大增!

讀到這裡,是不是覺得世界各國政府很失敗?是的,財政失衡及社會動盪的風險,依舊居高不下。

3.科技的(Technological)議題:

科技的創新發展,可能是轉變人類風險的一項機會,但也可能導致額外的風險。近年來的許多革命性科技,如AI人工智慧系統,讓我們未來的生活型態有可能變得方便精彩,但也可能帶來許多潛在危險,包括:管理失控、設計上的弱點、意外事故、未預期到的後果,以及惡意使用等,均將增加個人安全上的風險。

更甚者,AI及機器人將干擾勞工市場,許多技能勞工將被機器所取代,導致更嚴重的失業及社會不穩定問題。又如重大的雲端風暴,以及網路攻擊、軟體突然失靈,將嚴重傷害我們的關鍵基礎設施,包括運輸、通訊、能源、水、電力等。

4.合作的(Cooperative)議題:

第四大議題,就是我們該認真考慮如何因應這些挑戰。綜觀全球風險報告中所涵蓋的各類型風險(環境、經濟、地緣政治、社會及科技),全球各國必須聯手合作,並整體考量,共同面對即將來臨的各種風險。

人類即將面臨的風險是更勝以往及前所未見的,必須是跨越國界、跨越產業、跨越領域的全面合作,才能收到真正的效果。而在企業或組織層級,也必須要建立全面的風險管理流程與制度,不能只管自己部門的風險,而必須以組織整體高度來進行跨部門的風險思維。

世界經濟論壇(WEF)於2017年1月在達沃斯舉行全球會議,公布了2017最新的全球風險報告。橫軸為風險發生的可能性(Likelihood),縱軸為風險發生的衝擊(Impact),而可能性愈高且衝擊愈大的最高風險者,就位於右上角。(圖片來源/2017 WEF Global Risk Report)

新型態資安威脅

面對風險與各種挑戰,最近身邊發生的事情,也讓我感觸良多。

兩年前,我的一位60歲左右的親人,在無任何異狀下,發現自己罹患癌症(且已蔓延至其他數個器官),令人驚訝的是,這位親人是家族中最重視養生及樂觀的一位,退休多年,每天登山健行,最愛吃蔬果,太油膩的菜,都先用水涮過才吃......。得知罹癌訊息後,一度沮喪抱怨養生的習慣是沒有用的,也有其他親戚附和,認為人就該享樂生活,不用養生,因為沒用。

農曆年後,有多家券商遭受連日DDoS攻擊,接著就聽到許多類似前面例子的話......,組織內有人開始強調資安無用論,花大錢買資安設備或推動ISMS(資訊安全管理系統),還不是沒辦法防止DDoS......。類似的論點不盡理智,卻也暴露對資安基礎防護的認知偏差!

個人認為,面對DDoS這類攻擊當下,最有效的因應,就是由ISP業者提供流量清洗服務,從上游過濾處理,相對而言,若是組織層級的資安防護,都不容易收到立即的實效,這也是駭客特別喜歡DDoS攻擊手法的原因。

但所有的資安防護,仍舊有其重要功效,可以防止更複雜多變的其他型態攻擊,或內部管理漏洞。尤其科技創新應用的過程中,雲端應用、Big Data、IoT、機器人、AI人工智慧,採用完善的ISMS資訊安全架構,以及與時俱進的資安技術工具,才能真正跟得上國際腳步,將風險轉變為機會。

以上述我的親人經歷為例,很幸運地,目前仍在積極抗癌當中,在有效的標靶治療過程中,醫師充分肯定若非患者的體質及生活習慣良好,恐怕沒辦法撐過這麼長的期間。而面對新型態或惡意的資安攻擊,也是如此。

就像頑強的病毒,不斷變化升級惡性攻擊,再堅強的組織或國家也多少會遭到損害,沒有人能保證不受其攻擊。重要的是,基礎的日常防禦工作與認知,將是遭受攻擊前中後各階段的復原能力(Resilience)關鍵因素。如同生病時,擁有好的生活習慣及體質,是比較容易戰勝病魔及縮短康復時間的。

平心而論,環顧我們所身處的環境,會發現,臺灣的經濟發展真的不夠好,長期的資源不足,或是無效率的浪費資源、縮減公共預算(包括資安預算)、無計畫地培養人才,都已經傷了好多的機會與基礎。但此時,再用一些冷酷言語打擊受害者,實在不是一件值得鼓勵的良善行為。大家在資源匱乏的資訊及資安工作環境下,已精疲力竭,該是給點鼓勵及資源的時候了。

Take accountability!我們不能因噎廢食,該做的就是要做,不應當作理由或藉口。

在世界經濟論壇的2016全球風險認識調查結果中,顯示了各項科技的利益與負面後果的關聯,其中,如AI及機器人、生技,以及新的電腦技術,將會帶給人類最大利益,但也是會造成最多負面後果的幾項科技。(圖片來源/2017 WEF Global Risk Report)

專欄作者

熱門新聞

Advertisement