前警政署資訊室主任、現任東吳大學法律研究所兼任助理教授李相臣認為,壞人利用科技犯罪,好人就得利用科技破案

圖片來源: 

iThome

對許多臺灣駭客而言,前警政署資訊室主任、現任職於國內金融業高階主管,也擔任東吳大學法律研究所兼任助理教授李相臣,往往是又恨又愛。恨的是,擔任專門偵察電腦犯罪的偵九隊隊長時,許多因為好玩而觸法的年輕駭客們,都曾被他抓來喝茶、聊天過;愛的是,李相臣的肯定與鼓勵,這群具有資安專才的年輕人,不少都成為臺灣資安產業與未來發展的主力。也因為這段歷程,李相臣也曾經有「駭客剋星」的稱號。

擔任政府公職期間,除了成立偵九隊、科技犯罪防制中心外,從警政署資訊室主任退休後,具有科技刑事調查、與駭客作戰經驗的李相臣,更受聘成為臺灣金融業企業安全督導副總,協助因應個資法上路後的資安議題。

李相臣即將於4月初在iThome舉辦的臺灣資訊安全大會中,以東吳大學法律研究所兼任助理教授身分擔任講者。他認為,只要利之所趨,就會有網路犯罪的現實,不論政府或企業都可以利用像是大資料分析等新興科技,做到網路犯罪的早期預警。以下為書面採訪內容:

曾經在政府部門擔任資深公務員,現在又到民間企業擔任高階主管,就你認為,政府和企業面臨的資安風險有何異同?

政府和企業都同樣會面臨所謂的一般性風險,像是Port Scan或者是弱點掃描等。只不過,政府機關則面臨更難應付的APT(進階持續性威脅)攻擊,且多為有計畫、組織的運作,更嚴重的問題在於,這往往會牽扯到國家安全議題。

至於企業面臨的風險,多以一般性風險為主,像是駭客尋找企業應用程式或系統的漏洞、發動入侵與攻擊,例如常見金融詐欺、個資外洩等

政府和企業在遭受到的攻擊手法,有何差異?

嚴格來說,雖然政府和企業面臨的風險威脅,會略有不同,但駭客攻擊所有的工具和技術,萬變不離其宗,大方向所使用的工具、技術不變,但會因為攻擊的標的與目的不同(外顯的嚇阻或是內向的隱匿),而在工具和技術的應用上有所調整。

網路犯罪和各種個資網路黑市交易,都是全球面臨的共同威脅,你認為這樣的威脅,有機會根除嗎?

「殺頭的生意有人做、賠錢的生意沒人做」,當網路科技運用已經愈來愈廣時,只要「有利可圖」,就一定會有人膽敢冒更大的風險去獲取高額的獲利。因此,各種創新的科技應用,伴隨更多的網路犯罪,也在預料之內。

但若因為擔心各種新型態的犯罪而扼殺科技創新,其實是一種因噎廢食的行為。好的因應之道,建議應該藉由新興科技的特性,找出可以做到流程安全控管的新創功能。

像是,近期大資料技術與應用越來越成熟,政府和企業更應該有效利用大資料分析稽核報表,早期發現各種不法的異常交易與運作,並搭配Honey Pot(蜜糖罐)這種陷阱警示的概念,設定多項檢核項目,以能做到早期預防和早期發現為目標。

從金融交易到日常生活,應該如何提高每個人的資安意識呢?

資安雖然已經和你我生活息息相關,但這個議題比起一般的3C議題,仍稍具專業。對於如何提高一般使用者的資安風險意識,建議應該從了解科技特性著手,避免過度使用不知道安全風險為何的產品,例如,具有「重度隱私」的個人或企業機敏資料,都不應該存放在一般手機或家用電腦中,平常,更應該經常閱讀報章雜誌對於科技犯罪或不當使用相關報導,強化對各種網路科技犯罪的警覺性。

2015年最嚴重的資安威脅為何?物聯網/IoT/穿戴式裝置等,會是今年的資安風險嗎?

物聯網、行動與穿戴式裝置、雲端、第三方支付甚至無人駕駛等新興科技的運用,未來必定成為科技犯罪的目標,包括使用者所在位置、與何人做何種活動、使用何種裝置、談論哪些話題,甚至是身體健康狀況等,都可能被別人以合法或非法方式取得。

目前APT攻擊都是針對特定對象,而鎖定情報蒐集的標的,目前也都以各種電腦設備為主,但當每個人的生活逐漸和行動裝置、雲端、物聯網、第三方支付等名詞密不可分時,APT攻擊手法也會隨著科技進步有新的演進。

在攻擊手法有新演進,APT攻擊不只竊取資料,也可能利用鎖定攻擊的特定對象,或其他各行各業的重要人士進行各種不法行為。加上現在網路上人際互動具有「六度分離」的特性,駭客攻擊將不再只鎖定原本攻擊的對象,利用朋友的朋友的朋友作為鎖定攻擊的跳板,以蠶食鯨吞的方式,更容易達到攻擊的目的。

若要評比臺灣和其他國家對於資安防禦的能力,你覺得臺灣的評分為何?和其他國家相較優劣程度比較為何?對於數位環境中的資安自保之道又是甚麼呢?

臺灣因「環境特殊」,資安受害頗深,但是資安防禦能力也因此比其他國家強,世界有名的資安公司在臺灣大多設有分公司或研發部門,政府與企業都相當重視資訊安全議題。

只不過,一般使用者的資安觀念及自保之道,仍有待加強,因為網路「吃到飽」習慣的盛行,所以每個人不管需不需要,隨時都連網,如同自家大門24小時全天候打開,加上一般人很難辨別網路風險,即便政府大力宣導提高資安防護意識,但成效仍有限。建議政府應從小學開始,便將資安議題列入重要學程,目前應由中、小學生影響或教育家長,使其學習科技時代的自保之道。

資安應是協同合作與整體規畫的工作,並非端點裝防毒軟體或單ㄧ部門就可竟全功的任務,長期而言,臺灣也應該有一個統合單位來綜整政府與企業的資安工作。

 

相關報導請參考:「臺灣資安大會現場直擊」


Advertisement

更多 iThome相關內容