十月適逢國慶,牽扯到難解的國族認同議題,相信許多人對於這個月份抱持著難以言喻的複雜情感,即便如此,我們仍該想想,自己身處一個偉大的國家嗎?就像美國影集《新聞急先鋒(The Newsroom)》第一集裡面,主播Will McAvoy被大學生問到:「為什麼美國是世界上最偉大的國家?」

其實我們真的還不夠民主、進步,也不尊重國民,因此無法成為偉大的國家。當前我們的社會仍經常出現許多不可思議的歧視行為或言論,就像104人力銀行的《Be A Giver__不怎麼樣的25歲,誰沒有過?》短片,雖然所要呼籲的是要給年輕人機會,但呈現的人資偏見讓我們感到羞愧;剛結束的金鐘獎頒獎典禮當中,也有獲獎資深演員說出同性戀會造成人類滅絕的驚人言論。

該怎麼做,才能造就偉大?也許,懂得「從錯誤中學習」會是一個不錯的開始。而最近適逢微軟推出Windows Server 2016,主打安全性特色,也讓我想起這家公司過去為了做好資安付出了極高的代價,而他們不但主動積極面對,而且還持續了二十幾年,用「多難興邦」這句成語來形容微軟,可說是相當貼切。

面對產品資安漏洞層出不窮的挑戰,對微軟而言已經是家常便飯了。從他們1998年發出第一份資訊安全公告MS98-001,至今也已經將近20個年頭了,影響的作業系統包含Windows NT 的3.1、3.5、3.51與4.0。從這裡就可以了解微軟在Windows Server的早期版本,其實就不得不正視軟體安全漏洞的問題。

而到了Windows 2000時期,Code Red蠕蟲更是利用IIS網站伺服器弱點,發動大規模感染,造成許多Windows Server受害,癱瘓了許多公司的網路,因此震驚全球。微軟創辦人Bill Gates更在2002年,對全公司發出備忘錄,提到「Trustworthy computing」計畫的推動,而Windows Server 2003、Windows XP SP2、SQL Server 2005,都是受益於這項長期工作的產物,微軟內部也大力推動軟體安全開發生命週期(Security Development Lifecycle,SDL),例如,Windows Vista/Server 2008、Office 2007的開發過程當中,均整合SDL。

從微軟歷年來累積至今的資訊安全公告,就標有編號的項目來說,我概略統計一下,約有1千五百多條,就每年來看,最多曾有135條,他們對於自身產品安全性弱點資訊的揭露,算是相當開誠布公。若反觀其他公司的作法,可能就不是如此,甚至讓人感到錯愕,例如甲骨文1月發布248個漏洞公告,4月公布136個漏洞,7月提出276個漏洞。企業短時間內竟收到數百個漏洞的情報,該怎麼辦?3個月內能處理完嗎?

再回頭看看我們本地的企業,能夠好好地面對內部發生的重大問題,坦然對外說明嗎?而且後續還能提出把事情做好的承諾、積極採取行動?拿第一銀行ATM遭盜領事件為例,至今還沒看到該公司或行員提出任何說明和保證,只看到董事長率主管鞠躬道歉的消息。近期兆豐金控因涉嫌違反銀行保密法及反洗錢法,而被美國紐約州金融廳重罰1.8億美元一事,至今也沒有對外妥善說明。

對本土企業來說,遇到重大經營危機時,一貫採取低調、避風頭的作法,或是推說已進入司法程序,但事隔多時之後,消費者、顧客仍然看不到相關的解釋與具體改善的作為,就是希望你徹底忘了這件丟臉的事情,然而,當事者學到教訓了嗎?你永遠不知道。或許這也是我們無法偉大的原因——愛面子,不願意開誠布公、接受自己犯的錯誤。該想想如同微軟這樣的大公司,為什麼願意去正視這些問題、充分揭露相關情報,而且能長期堅持?

作者簡介


Advertisement

更多 iThome相關內容