觀點

資安人才缺乏 時刻要覺察

2017 / 02 / 22
編輯部
資安人才缺乏 時刻要覺察

報載某國立大學教授從印表機中,收到歹徒勒索的恐嚇信,信中提到要交付定額的比特幣,不然將癱瘓學校的網路。同一個時間,另一所大學也接到類似的信函,但該校的資訊人員回覆表示,這是某一廠牌印表機的問題,已經接獲多起的回報,因此只要記得下班關印表機即可,不用多加理會。

乍聽到這樣有些無厘頭的回應,真的不知道要哭還是要笑,也許是承辦人員怕麻煩,就讓使用者自行處理就好了,但從另外一個面向來看,是不是國內普遍缺乏資安人員呢?

這邊指的資安人員,是專門負責處理資安事務的人員,他和一般的資訊人員不完全相同,懂得寫程式的,也許對於如何提升程式效率有很專精的研究,但不見得知道程式有那些撰寫的方式會形成漏洞。同樣的,懂得網路如何串接,並不見得明瞭駭客攻擊的方式,所以資訊人員並不等於是資安人員,但很多大眾就把這兩類的人員畫上等號。甚至還有媒體記者,把手機達人也稱為資安顧問的笑話。

國內目前各大專院校,幾乎沒有開設獨立的資安學程,如果有開設資安學分的系所都已經很少了,甚至連這樣的課要開在資訊工程系還是資訊管理系都有很大的爭議。但就實務經驗而言,一位資訊安全人員,必需要技術與管理的技能同時俱備。不但如此從網路、系統、軟體開發,甚至APP的應用,都要有一定程度的涉獵,更重要的則是需要有相關的實務經驗。如果只是理論派大將,或只會熟背某一套標準,但是如果沒有持續的精進,很快的還是會被市場所淘汰。

曾經聽過同業講述當初如何踏上這條路,原因無他,只因為單位出了事,他又是單位裡面最年輕的,所以就變成是他的工作。甚至有人抱怨說會接下資安的工作,是因為喜歡打電動玩具,主管就覺得電腦一定很好,那就被主管分配負責來管理資安業務。幾乎很少人是一開始就走進這個行業,很多都是在不同領域中浮浮沉沉,所以後來才接觸到資安。一旦進到這個領域,才發現裡面的技術、技能超過原先的想像,如果不是刀架在脖子上,或是對這個行業充滿熱情,很快的在資安領域轉個圈後,又會回到原來的工作崗位。

所以有些單位發生過安排人員上資安課程,但結果這些人員也都沒有從事資安工作。而那些在第一線作業的人員,因為沒有適當的訓練,也弄不清資安在做些什麼,也有在資安稽核過程中乾脆直問受查單位,以前是提供那些參考資料,現在依舊再提供同樣的資料以便結案了事,如果只是做這樣的工作,那很明顯弱點還是持續的存在。

最近報載因為領事事務局部份旅外資料被外洩,行政院重新盤點各部門資安人力的缺口,發現高達上千人。我們希望是真正訓練一批人員,將這個缺口補足,而不是只有將工作內容掛上與資安有關,或是只是成立一個資安單位,但還做的是原來的工作。惟有落實的訓練,才能真正讓台灣的資安環境強化,而不是等到發生事情後,再忙著找各式的藉口及理由搪塞。