圖片來源: 

擷取自衛生福利部YouTube直播

打擊看不見的病毒,防疫與防駭有不少互通之處,上周我們介紹了從防疫成功經驗學防駭,較特別的是,在這次防疫經驗中,最多爭議的焦點,就是檢驗感染者的方法,我們到底要不要實施大規模的PCR篩檢與快篩?是否要入境全面篩檢或是針對全民的普篩?在這樣的議題下,資安防駭其實也是有類似的概念能夠借鏡。

做好資安不只考量風險,成本與效益也是重點

對於篩檢的爭議,為了向大眾說明指揮中心的決定,在4月28日,中央流行疫情指揮中心在每日召開的記者會上,由指揮官陳時中親自報告說明,當中表示精準防疫戰略成功之下,已經有效地控制疫情,因此再要進行PCR普篩將不符合效益,會浪費大量的醫療人力資源與金錢,與疫情較為嚴重的國家狀況並不同。

對於找出感染者的普篩方式,衛生福利部資訊處處長龐一鳴表示,成本方面的問題,其實也是資安上會面臨的挑戰,因為資安不知道會花多少錢?這樣共通點較少被提及。

對於這次臺灣防疫表現出色,龐一鳴指出,最關鍵的原因就是指揮中心用的方法,全部都是科學的方法,講求證據、實證。但這次政府防疫過程有幾個爭議點,像是經費花得適不適當,以及是否要實施普篩的問題。

對此,龐一鳴從成本角度出發,提及資安上必須思考的面向,那就是資安要花多少錢才適當。他並以自身職務上的經驗來說明,他說,自己遇到不少推銷資安產品的人,但企業組織不可能每個產品都買,還是要依據自身環境去考量與規畫。而且,企業如果沒有良好管控,甚至該更新沒更新,可能買了再多的資安設備也沒有好的作用。

他要提醒的是,企業與資安長需要先想好遇到問題的解決政策,不然資安會很花錢。同時,他認為,制度強與觀念好更重要,落實資安管理標準(像是ISO 27001),重視強化資安衛生習慣,其實就能省去很多問題。

資安健檢有其必要性,不能因為企業沒出問題就不做

雖然防疫與防駭兩個共通之處不少,但還是有些差異,因此,有些防疫策略可能在資安領域是較容易做到的事。例如,在資安領域上,關於檢測的項目,主要都是針對機器與系統,一般也都傾向以自動化方式去執行,而防疫上要找出感染者,配合對象都是人,綜合來說,資安上的檢測是要比防疫容易執行。

單就普篩而言,BSI臺灣總經理蒲樹盛表示,與國外相比,臺灣這方面做的是相對不好,導致擔心可能有很多無症狀感染者,而在資安防護上的檢測,例如,弱點掃描、滲透測試的層面,則是相當成熟的概念,

只是,企業組織在這兩項檢測項目的落實,國內仍有待加強。例如,有不少企業董事會仍不具備這樣的概念,他認為,普遍高階主管或許沒辦法懂很多技術,但可以支持下屬去執行這兩件事,而且是定期且持續地去做,這花不了多少錢。他並提醒,如果公司都沒出問題,也不應該為了成本考量,就可以不做弱點掃描與滲透測試。

此外,蒲樹盛強調,絕對不要浪費任何一次的危機。因此,不論是從嚴重的疫情、地震,我們都是要學會如何減緩下一次的風險,也就是說,企業需要重新審視資安防禦能力,如果沒有這麼做,等於下一次還會遭遇同樣狀況與問題。而以這次從防疫學防駭的經驗來看,諸多提醒也都是讓企業反思,自己是否實際做到。

對於資安健檢的重要性,TeamT5杜浦數位安全執行長蔡松廷則從快篩的概念來說明。他說,企業明明都有部署資安設備,以及各種資安軟硬體的防護,為何還要定期做健檢?

一般而言,目的是為了找出潛在的問題,並要有方法,能快速知道企業是否有出狀況,他強調,這個花費的代價是越低越好,時間越短越好。而在資安上,除了平時的資安防護,企業也要有額外的機制,從不同的角度來檢視自己是否的安全,但這就要有方法、工具與流程。如同平常個人會運動保護自己,但還是會去健康檢查,檢查自己有沒有出事,這個概念在資安上也適用,也應該要去做。

熱門新聞


Advertisement