從普篩議題看資安防駭，成本是防疫與資安都面對的挑戰

打擊看不見的病毒，防疫與防駭有不少互通之處，上周我們介紹了從防疫成功經驗學防駭，較特別的是，在這次防疫經驗中，最多爭議的焦點，就是檢驗感染者的方法，我們到底要不要實施大規模的PCR篩檢與快篩？是否要入境全面篩檢或是針對全民的普篩？在這樣的議題下，資安防駭其實也是有類似的概念能夠借鏡。

做好資安不只考量風險，成本與效益也是重點

對於篩檢的爭議，為了向大眾說明指揮中心的決定，在4月28日，中央流行疫情指揮中心在每日召開的記者會上，由指揮官陳時中親自報告說明，當中表示精準防疫戰略成功之下，已經有效地控制疫情，因此再要進行PCR普篩將不符合效益，會浪費大量的醫療人力資源與金錢，與疫情較為嚴重的國家狀況並不同。

對於找出感染者的普篩方式，衛生福利部資訊處處長龐一鳴表示，成本方面的問題，其實也是資安上會面臨的挑戰，因為資安不知道會花多少錢？這樣共通點較少被提及。

對於這次臺灣防疫表現出色，龐一鳴指出，最關鍵的原因就是指揮中心用的方法，全部都是科學的方法，講求證據、實證。但這次政府防疫過程有幾個爭議點，像是經費花得適不適當，以及是否要實施普篩的問題。

對此，龐一鳴從成本角度出發，提及資安上必須思考的面向，那就是資安要花多少錢才適當。他並以自身職務上的經驗來說明，他說，自己遇到不少推銷資安產品的人，但企業組織不可能每個產品都買，還是要依據自身環境去考量與規畫。而且，企業如果沒有良好管控，甚至該更新沒更新，可能買了再多的資安設備也沒有好的作用。

他要提醒的是，企業與資安長需要先想好遇到問題的解決政策，不然資安會很花錢。同時，他認為，制度強與觀念好更重要，落實資安管理標準（像是ISO 27001），重視強化資安衛生習慣，其實就能省去很多問題。

資安健檢有其必要性，不能因為企業沒出問題就不做

雖然防疫與防駭兩個共通之處不少，但還是有些差異，因此，有些防疫策略可能在資安領域是較容易做到的事。例如，在資安領域上，關於檢測的項目，主要都是針對機器與系統，一般也都傾向以自動化方式去執行，而防疫上要找出感染者，配合對象都是人，綜合來說，資安上的檢測是要比防疫容易執行。

單就普篩而言，BSI臺灣總經理蒲樹盛表示，與國外相比，臺灣這方面做的是相對不好，導致擔心可能有很多無症狀感染者，而在資安防護上的檢測，例如，弱點掃描、滲透測試的層面，則是相當成熟的概念，

只是，企業組織在這兩項檢測項目的落實，國內仍有待加強。例如，有不少企業董事會仍不具備這樣的概念，他認為，普遍高階主管或許沒辦法懂很多技術，但可以支持下屬去執行這兩件事，而且是定期且持續地去做，這花不了多少錢。他並提醒，如果公司都沒出問題，也不應該為了成本考量，就可以不做弱點掃描與滲透測試。

此外，蒲樹盛強調，絕對不要浪費任何一次的危機。因此，不論是從嚴重的疫情、地震，我們都是要學會如何減緩下一次的風險，也就是說，企業需要重新審視資安防禦能力，如果沒有這麼做，等於下一次還會遭遇同樣狀況與問題。而以這次從防疫學防駭的經驗來看，諸多提醒也都是讓企業反思，自己是否實際做到。

對於資安健檢的重要性，TeamT5杜浦數位安全執行長蔡松廷則從快篩的概念來說明。他說，企業明明都有部署資安設備，以及各種資安軟硬體的防護，為何還要定期做健檢？

一般而言，目的是為了找出潛在的問題，並要有方法，能快速知道企業是否有出狀況，他強調，這個花費的代價是越低越好，時間越短越好。而在資安上，除了平時的資安防護，企業也要有額外的機制，從不同的角度來檢視自己是否的安全，但這就要有方法、工具與流程。如同平常個人會運動保護自己，但還是會去健康檢查，檢查自己有沒有出事，這個概念在資安上也適用，也應該要去做。