被忽視的非惡意威脅最危險

最近的凡那比颱風對南臺灣造成了很大的災情，高雄市、屏東縣很多地方10年來頭一次遇到這樣的淹水災情，積水深達一層樓，很多大樓的地下室都泡在水中，像高雄大學工學院有不少位於地下一樓的實驗室，設備全都泡湯損壞。文藻外語學院也同樣災情慘重，5棟大樓地下室淹水，放在大樓地下室的伺服器全數損壞，學校網站和網路服務全面中斷。

其實，臺灣有很多政府機關的電腦中心都設置在地下室，例如忠孝東路上的警政署資訊中心就是在地下一樓，全國最重要的警政資訊系統都在地下室的伺服器中，尤其是成立時間較早、歷史悠久的政府機關，通常將機房設置在大樓地下室。

在這些政府機關成立多年，資訊部門往往是最晚成立的新單位，而且多是任務編組的單位。機關空間都已由既有單位使用多年，後成立的資訊部門只能分配到大樓中位置最差的地方：地下室。

可是，地下室卻是大樓中最不安全的地方，一旦發生像凡那比颱風這樣的淹水災情，在地下室的機房設備通常很難倖免。

除了位於老房舍的公家機關以外，現在企業大多不會將機房設置在地下室，但有不少企業會有安全的迷思，誤以為安全問題只存在電腦內部，解決電腦內的威脅就好，卻忽略了很多實體環境上的不安全。

因此，這些企業多半只會想到如何防止駭客入侵系統，只會關注於各種資安產品和技術，卻忽略了一些更根本的資安威脅，例如地下室淹水所造成的硬體破壞，這也是非常嚴重的安全問題，損失可能更甚於系統被入侵。
從實體安全來看，不只機房不該放在地下室，連通訊設備、電力設施或冷氣設施都不能放在地下室，其中任何一項發生問題，整套系統就會停擺。
南港軟體園區中有一家大型的系統整合業者，納莉颱風襲臺時他們也發生了淹水的災情，雖然樓上機房一切正常運作，但是網路連外設備卻位於地下室，線路全部泡水，伺服器同樣無法對外提供服務，導致全國性服務中斷好幾天。

如果你忽視實體安全、沒有配套的內部安全管理制度、缺乏安全的SOP規定，你的公司就會不安全。莫非定律告訴我們，只要可能發生的事情，就一定會發生，而且會在最不該發生的時間發生，還會發生最壞的情況。那些你認為不會發生的安全威脅，往往是最大的威脅。

資安產品和技術不是不重要，而是這些都只是基本的必要條件，企業還需要考量整套作業流程的End-To-End安全配套。

即使企業另外建置了備援機房來預防地下室淹水問題，這也是一種不得已情況下的解決辦法。備援機制就像是汽車的安全氣囊，最好連一次都不需要用到。保護自己最好的辦法，應該要遠離危險，而不是讓自己常常處於不安全的處境中，再來講究身上的防護措施夠不夠。資訊安全也是同樣的道理。

可是，大部分的安全機制都用來因應惡意的資安威脅，很少有機制是用來預防無意或非人為的威脅，例如像自然災害、硬碟老舊損毀、或程式設計師無能，沒有發現自己寫出問題程式等問題。忽視了這些非惡意的威脅，才是真正的危險。口述⊙范錚強，整理⊙王宏仁