【從「勤洗手與戴口罩」學防駭】企業與個人都該有資安衛生習慣，落實與持續是重要關鍵

武漢肺炎持續在全球擴散，在臺灣的防疫期間，勤洗手、戴口罩與保持社交距離，就是我們最常聽到的宣導口號，簡單來說，就是要我們做好基本衛生習慣，降低自己被感染的風險。

在資安宣導上，我們常常也會聽到類似的概念，例如，公司或組織要大家定期更新系統更新檔及病毒碼，發現可疑信件就不要開啟，不隨便開啟附件檔與網址，以及啟用雙因素驗證等，這些小小的舉動，雖然很瑣碎，但其實，也都有助於降低被電腦病毒感染，或是被駭客入侵的風險。

強化企業資安衛生習慣有方法

關於這類從使用者著手的資安衛生習慣，其實，近年也有人在談論這個議題──資安衛生習慣（Cyber Hygiene），強調在既有的資安管理上，採取更主動的防衛措施，以預防可能遭受的各種威脅事件，而且，現在國際間已有從法規面來著手推動的實例。

對此，勤業眾信風險諮詢服務執行副總經理林彥良指出，近年美國與新加坡政府其實都有資安衛生習慣的規定，例如，新加坡金融管理局（MAS）就是可以參考的實例。

簡單來說，該單位在2019年8月6日發布資安衛生通函（Notice on Cyber Hygiene），透過法令來推動，當中具有6大重點，包含針對帳號的管理、定期安裝修補程式、安全標準、網路邊界防禦，以及惡意軟體防護與多因子認證。其實，這些都是基本的安全概念，不過林彥良特別指出，在這樣的機制下，會讓企業相關做法變成內部控制的一環，而不是僅以資安管理看待。

除此之外，國際上一些較著重實務面的資安框架，也可以說是做好資安衛生習慣的參考指引，包括：澳洲網路安全中心（ACSC）的Essential Eight，以及美國非營利組織網路安全中心（CIS），發展出的CIS Critical Security Controls（CSC），基本上，這些資安框架在iThome之前的報導也介紹過，都可看做企業在規畫資安衛生習慣時的建議。

對此，勤業眾信風險資訊服務協理陳威棋說明，企業只要做好Essential Eight的8項安全控制措施，將能減緩85％的網路攻擊威脅。

戴夫寇爾執行長兼共同創辦人翁浩正也提到，可以參考CIS Control的一連串控制措施，像是最基本的第1到6項，就可視為資安衛生習慣，可以奠定良好、強健的整體防禦根基。

但要提醒的是，資安衛生習慣的基本觀念要先形成，這可能需要時間，不是現在開始做，就會馬上立竿見影，快速看到成效。

需透過資安規定來落實，以及持續進行

資安衛生習慣將是防護根本之道，BSI臺灣總經理蒲樹盛表示，這次全民都有防疫概念，政府從早到晚的每日防疫短片，宣導勤洗手、戴口罩等衛生習慣，就是教導民眾容易做到的方法。 （攝影／洪政偉）

再從這次臺灣防疫的經驗來看，全民之所以都能對於防疫措施很有概念，積極配合，主要原因之一是：政府在衛生習慣的持續教育宣導，而最終的效果也顯著。

例如，電視上從早到晚播放著防疫小短片，政府也召開每日記者會持續宣導，大家看久了、聽久了，也就知道該怎麼做，而且，一旦養成勤洗手、戴口罩這些衛生習慣，不僅可大幅減少病毒與細菌傳播，也是民眾最容易做到的動作。因為口罩可以阻隔病毒的飛沫傳染的途徑，勤洗手則是能避免接觸傳染。

對於這樣的持續教育，以及防止傳播途徑，BSI臺灣總經理蒲樹盛表示，這是防疫上很成功的經驗，企業在進行資安防護時也是如此，可以依照組織資安規定來進行，如果有人不遵守，那關鍵就是在規定要能落實。

蒲樹盛並提醒，企業在內部資安教育上，同樣要有不斷的宣導、教育與演練，而且，他提醒，普遍企業可能實施範圍不夠全面，但是，資安防護並非只有資安團隊的責任，而是全公司同仁都要做到的分內工作，就像這次全民防疫一樣，大家都要遵守，才能擋得住疫情。

換言之，企業除了要落實資安管理，資安意識的教育訓練也是輔助執行的一種方法。例如，企業採取上課、考試的方式，來教導員工郵件安全、帳密安全、電腦安全，以及資料外洩保護等資安觀念，以及利用舉行社交工程演練的方式，寄送釣魚測試信，促使員工對釣魚信能有更高警覺性。

關於這些作法，大家可能已經知道，認為是老生常談，然而，要定期且持續進行，才是真正的關鍵，就像這次防疫一樣，要持續宣導不能鬆懈。

畢竟，人往往生病了，才會重視身體健康和個人衛生，但平時應該就要保持良好習慣，而資安衛生習慣的概念，同樣是需要持續進行的事。

至於全民防疫，主要也是因為這件事與每個人切身相關，因此民眾配合度高，能夠配合政策來做好防疫，但論及全公司都要做好資安，企業員工可能因為不涉及人身安全，因此在資安教育宣導上，必須更要採取正面積極的方式，讓大家能認同這件事，因為，每個人都可能是企業的破口，而導致受害。

衛生習慣教育不分年紀，但資安習慣教育仍需多多努力

無論如何，從這次臺灣成功的防疫經驗來看，如果大眾對於資安的態度，能提升到與防疫的態度一樣水準，這將讓我們在資安即國安的政策施行成效上，更具說服力。

關於防疫與防駭，兩者本身就有很多原理相同，像是病毒（Virus）這兩個字，就是從生物學而來。對此，衛生福利部資訊處處長龐一鳴表示，他對此很有感概，因為他本身就是公共衛生背景出身。

在龐一鳴的經驗中，他用預防醫學中的三段預防概念，來說明資安防護的觀念。這裡指的三段預防，分別是初期預防、次級預防，以及三級預防，這與資安領域所談的預防概念看似不同，不過，兩者仍有共通之處。

他說，初期預防著重的是預防生病，生病之後是次級預防（變重症），而重症則是三級預防（死亡），這其實與資安防護的作法有異曲同工之妙，因為我們同樣會區分成事前、事中與事後，與三段預防相比，相當一致。

對於資安衛生習慣的議題，龐一鳴特別點出一個令人需要關注的問題。他說，香港小學生在學校會習得資安的知識，反觀臺灣呢？為何我們的資安沒能從小開始教育？

確實，對於衛生習慣養成這件事，大家應該都不陌生，畢竟這是老師、家長從我們年幼時就在教導的觀念，或是說現代大家都該有的基本認知。也就是說，關於衛生習慣的教育宣導，其實並不分年齡對象。

儘管近年來，臺灣在校園上的資安人才培育，在高中、大學都有一些課程與活動，但這些是為了培養更多資安專家及從業人員，而在各學齡層的資安衛生習慣宣導，卻未受到長足重視，呈現很大的落差。

單就國小學童來看，過去我們常看到電腦課的內容，包括資訊素養與網路倫理，隨著時代演進，甚至現在國小生就要開始學AI了，但基本的資安衛生習慣養成，卻似乎沒有從小開始扎根，包括智慧財產權的認識，如何安全使用網路、隱私資料保護，以及如何在網路上保護自己等。這樣的問題，值得政府與學校去思考與重視。

 更多相關報導  從防疫學防駭