微利時代,緇珠必較這樣的問題不斷徘迴在各階層的政府單位與民間企業中。資訊安全日益受到重視,但資安部門投入實際成效與回收報酬無法被管理階層所接納,因而產生彼此互相矛盾與不信任的問題也日趨嚴重。近來行政院資通安全會報努力推動我國資通安全基礎建設和國際日益關注資訊安全的問題之下,資訊安全的重要性已深受重視。各行各業往往深怕一個不注意,自己苦心獨家研發的產品及技術會原封不動的出現在競爭對手的宣傳文中;更有甚者,遭到駭客的入侵,所有資料、帳號都將暴露於危險之下。有形的資產損失是有限的,但是無形的信譽損失卻是無法斗量!
然而微利時代的到來,管理者對於任何一筆資金的開銷都極度重視,更何況是動輒幾百、幾十萬的資安設備和後續的人員操作訓練費用及維修支出。常常聽到管理階層在抱怨「資安的工作就像是沉沒的成本」,但是資安的工作卻又是一個單位是否能無後顧之憂正常營運的必要條件。「安全」這項議題在各行各業中永遠都是大家爭論不休的焦點,一般大眾往往對於安全的認知有著「不見黃河心不死」的心理特徵。
本文試圖找出資安問題最根本的核心-資安工作到底是可為或可不為?進一步,我們提出成本分析及預期效用理論,有利於管理者面對購買各式資安產品所做的投資評估。期望本文所提供的理論背景,不僅能強化管理者從事資安工作的決心,也能協助達成最符合經濟效益的投資。
資訊安全do or not?-囚犯的兩難(prisoner's dilemma)看過電影美麗境界嗎?相信大家對主角羅素克洛揣摩劇中納許(John Nash)投入於思考時那個迷亂又近於真實的演技感到讚嘆吧!1994年的諾貝爾經濟學獎得主John Nash是個傳奇性數學家,他所研究非合作博奕論(Non-competitive Game Theory)被廣泛地應用於各種領域上。「囚犯的兩難」即為「Nash均勢」(Nash equilibrium)的主要應用。我們試著利用此理論闡述資訊安全是否建置的必要性。
假設政府及民間單位建立e化環境時面對著外部不確定的威脅,包括蠕蟲、病毒及駭客的入侵,政府及民間單位有權利選擇資訊安全建置與否,但同時也將因自身所做的決定得到不同的報酬。假如政府及民間單位選擇資訊安全建置並購買資安產品以強化對於駭客、蠕蟲的攻擊,則當駭客攻擊時,雙方(A,B)的報酬矩陣為(2,2)。這表示建置資安的個體從安全上得到兩單位的效益,同時駭客也從攻擊的過程中得到兩單位的滿足感。同樣的,假若A、B雙方有一方沒有從事安全防護且另一方攻擊時,則被動的一方將無法獲得任何效益,另一方則獲得十單位的效益,反之亦然。但如果雙方皆和睦相處,在網路效益徹底發揮下,則雙方皆獲得五單位效益。圖一列出政府及民間單位是否實施資訊安全建置(A)與駭客、蠕蟲對資訊環境毀損(B)間的償附矩陣。
在這個賽局中,假定參賽者A與參賽者B以彼此所做出的策略為回應。當參賽者A做出下列策略時:
資安建置與否
A「是」→B在自身利益極大化下將回應「攻擊」
A「否」→B在自身利益極大化下將回應「攻擊」
當參賽者B做出下列策略時: 駭客、蠕蟲對資訊環境毀損
B「攻擊」→A在自身利益極大化下將回應「是」
B「無攻擊」→A在自身利益極大化下將回應「是」 我們可以發現,不論政府及民間單位是否建置資安,駭客、蠕蟲做出的決定都是「攻擊」!
兩者彼此的交集停留在報償為(2,2)的策略組合,這就是Nash 均衡解。大家一定會問:(5,5)的策略組合不是最好的嗎?雙方都得利。的確,報償為(5,5)的策略組合在經濟學中是最適解,可惜人類的天性都是求取自身利益最大化,因此在任何一方有誘因求取更大利益時,最適解是不可能達到的。這也正好解釋了資訊安全環境是一定、必須要做的,因為駭客為了極大化其利益,他們絕對會不斷嘗試攻擊各單位,不論該單位是否已建置資訊安全的環境。為了減少自身的損失,防護自身資訊安全是必定要走的一條路!
永無止盡的資安投入? -資訊經濟知多少
從上面論述中我們得知資訊安全防護是一定要做的,因此適當的投資是必要且不可忽略。但是,企業主必定有所抗拒:不會這麼倒楣啦、太貴啦、不划算啦!特別是企業主管及經理人針對資訊安全這個議題最主要的疑惑:搞不好花了一大筆錢購買資安設備,用不到幾次,那不就成為一筆不必要的開銷了嗎?是的,不談管理者不正確資安技術觀念,綜觀上述的問題,我們分析得到是否建置資訊安全的主要問題源自於「成本效益」這項關鍵因素。因此我們試圖就成本分析來做為快速評估資訊安全環境建置的理論基石。
成本分析-簡易資安產品購買評估法
要如何界定一筆資訊安全設備開銷是具有功效,最直觀的想法就是買進設備後改善的成本與未購買設備時改善前的成本做比較了!因此我們試著建立設備買進前後期的成本(當資安事件存在),並分析何種條件下花費是有利可圖。我們推測網路環境存在資安的威脅,因此資訊單位購買資安產品以維護自身資訊安全。假設未購買設備時,資安事件可能發生機率為(Po),現存成本(改善前成本)為(A);設備購買後,資安事件發生機率變為(P1),虛擬成本(改善後成本)為(B)。資訊單位總資產價值為(W),資安產品成本為(Co),已確定損害成本為(C1),我們將可做如下推論:
從圖二中,我們可以清楚了解現存成本大於虛擬成本時,資訊單位選擇採用資安產品有利可圖,決策者將決定購買資安產品。然而若損害成本(C1)為可負擔成本,資訊單位將選擇不購買資安產品。從圖三中,若現存成本小於虛擬成本,資訊單位選擇採用資安產品無利可圖,決策者將不購買資安產品。然而若損害成本(C1)為不可負擔成本,資訊單位必定要購買資安產品才能使自身利潤最大。成本分析法能迅速幫助決策單位找出資安產品的購買成本效益間的關係,俾期管理階層能妥善運用。
結論
資訊安全的確是一條不得不為的路,縱然其繁瑣且效益不是一朝一夕所能樂見,然而一旦資安事件爆發,所能見到的成效絕對是有目共睹。本文提出Nash均衡解釋駭客為了極大化自身利益,絕對會不斷嘗試攻擊及癱瘓各種網路環境,因此強化資訊安全的工作是有其必要性。另外我們利用成本分析的方法提供決策者購買資安產品的評估機制,並使用決策樹分析各種情境,決定何種情況購買產品才能使自身單位利潤最大。
落實資訊安全的建置,使資訊產業的發展能將網路正面的功用發揮極至,將使我們能夠更安心的優遊於網路之中。
本文作者:洪肇蔚為成大交通與電信管理所碩士 賴溪松為成大計算機與網路中心暨成大資通安全研發中心主任