資安韌性已成企業組織永續發展的關鍵

今年臺灣資安大會的主要口號是韌性決勝（Resilience Matters），正如總編輯吳其勳所言：資安的威脅已是常態，網路攻擊無所不在，今天無論我們防禦得多麼成功，都無法保證明天不會淪陷，因此，我們必須更重視企業組織永續發展的致勝關鍵：資安韌性，唯有韌性，得以決勝。

而在大會第二天下午，我們也舉辦了從防疫學防駭的座談會，當中也提及相關的議題。這場活動的與談人有資安主筆黃彥棻、資安主編羅正漢、中央研究院資訊科學研究院博士後研究員潘美連，以及我，希望基於iThome在7月製作的封面故事《從防疫學防駭》的內容來探討。

在座談的過程當中，潘美連提到一個論點相當值得省思，她認為防駭比防疫難，臺灣因為防疫有成，因此，基本上，經濟民生已恢復日常運作，雖然我們需配合政府推動的「防疫新生活運動」政策，僅須保持社交距離、勤洗手、佩戴口罩即可，享受日常、如常，但相較之下，資安並非如此，網路威脅攻擊事件層出不窮，所以，我們身處的狀態並不是「平時」，而是「戰時」，所採取的因應策略也必須符合當前的態勢。

另外，防駭必須做到「除惡務盡」，對於潛藏在企業內部的惡意程式與受駭電腦，都必須要找出來，實施必要的鑑識與還原程序，相當費工，更何況我們面對的並不是單一的嚴重威脅；但若要預防武漢肺炎病毒的大規模傳染，我們可以透過居家隔離、居家檢疫的方式，並不需要針對入境者進行普篩，就如同衛福部在8月6日發布的新聞稿所言：「即使有極少數無症狀者個案未於入境時被攔檢，經過14天居家檢疫，其傳染力已大幅降低或幾乎已無傳染力，於檢疫期滿後再自主健康管理7天，持續密切追蹤健康狀況，已可有效防堵社區傳播風險。」

究竟是防駭難？還是防疫難？8月19日彰化縣衛生局篩檢居家檢疫無症狀者的爭議事件，又掀起一波網路論戰，癥結點仍是中央與地方對於防疫處理程序與彼此立場的認定有落差，顯然在作業過程當中出現了不同層級單位彼此溝通的問題，而這類各執一詞的狀況無論是防疫或防駭，都在所難免，彼此之間如何約束、磨合、包容，達成共同目標，當然也考驗我們的「韌性」。

企業若要取得應變的韌性，在許多層面都要布局，就像近幾年來，在IT領域當中，韌性這個詞彙也經常被許多專家所提及。例如，IBM一直在推動業務持續營運管理（BCM）、雙主中心、兩地三中心的備援架構等議題，他們在2016年也買下一家資安事件回應業者Resilient Systems；BSI英國標準協會台灣分公司總經理蒲樹盛，也在許多場資安研討會發表相關演講，不斷呼籲企業關注組織韌性的議題。

事實上，企業IT韌性不只是確保IT服務的高可用性，也適用於資訊安全相關工作的推動，目的都是希望具備足夠的容錯（Fault Tolerance）能力，提供更高的可靠度（Reliability）與可用性（Availability）。

然而，就我目前的認知而言，IT層面的韌性，我們可運用各種IT資源備用／備援（redundancy）的機制來支撐，一旦發生故障，可由其他正在執行的系統或啟動備援系統來接手，雖然還是要釐清事故的根本原因，但以服務的持續運作為最主要考量，而這也跟OT環境資安營運要點很類似，一般而言，優先順序為可用性（Availability）、完整性（Integrity）、機密性（Confidentiality）。

若是資安層面的韌性，過去主要考量的是IT環境，優先順序為機密性、完整性、可用性，而隨著如今OT環境大舉連網，這兩種處理順序都需要一起考量，企業在管理這兩種環境時，則需要建立統一的管理制度，避免發生顧此失彼的局面，或是因各自為政而導致控管成本大增、難以負荷。

相關報導請見：臺灣資安大會直擊（上）資安將是臺灣新戰略產業