資訊安全要從教育訓練做起,這已是老生常談。但美國確實已有組織集結民間、政府的力量,有系統地向大眾宣導資訊安全認知,活動時間長達一個月,今年正式邁入第七年,而我們呢?
病毒、木馬、駭客攻擊,資訊安全威脅已逐漸滲透社會各角落,除了資安防護產品持續熱銷之外,許多國家紛紛開始有系統地對大眾進行資安認知教育訓練活動,例如美國訂定十月份為全國資安認知月(National Cyber Security Awareness Month)。活動的起緣最早可追溯自2001年Code Red病毒大規模爆發之後就開始有計劃地進行。
第七屆美國國家安全認知月,正式活動自10月1日開始起跑,串連各級學校、企業、政府機構,跨產業舉辦一連串的資安認知推廣活動。由the Internet Storm Center主辦,美國國土安全局(the US Department of Homeland Security)的國家網路安全辦公室(National Cyber Security Division) 以及國家網路安全聯盟(National Cyber Security Alliance)背後支持。這是全國性的活動,主要目的是教育美國民眾、企業、學校與政府機構,如何來保護他們的網路環境、電腦,以及國家的關鍵基礎建設。透過一些簡單而有效的步驟來教育使用者如何遠離最新的威脅,以及遇到可能的網路攻擊事件時如何回應。
聚集各方資安能量,重視聲音廣為聽見
正式活動自10/1至10/31。但在活動開始之前,9月份主辦單位即公開徵求資安認知宣導的主題,SANS Internet Storm Center總監Marcus H. Sachs表示,每年資安認知月的參與組織都不斷在擴大,今年光是徵求認知宣導主題就有超過100個主題的建議,經過內部討論後才再濃縮為31個主題。
31個主題確定後,依照同屬性安排在同一週連續出現,因此在10月的4個半星期中皆有不同的大主題。在主題抵定後,接著對外徵求個人貢獻自己的資安故事、經驗秘訣或是資源分享。再由ISC的資安志工負責篩選、彙整,寫成當天日記,連續一個月在Handler Diary網頁上刊登。
除了ISC在Handler Diary籌劃的資安認知宣導是活動主體之外,美國資安月的特色就是其他組織也在這段期間中各自舉辦相關活動來共襄盛舉,活動資訊統一公佈在資安月活動行事曆當中。活動進行的方式也很別出心裁,包括主辦單位提供網頁活動橫幅廣告讓參與組織放置在自己的網站上;參與連署簽名的組織也會顯示名字在活動網站上;如果是企業、組織內部要舉辦資安認知日的活動,則提供活動舉辦方式的建議書;如果是學校機構則提供教師教授網路安全的上課教材(DVD)以及提供每週教授資訊安全認知課程的教案設計,對於大專院校也有提供可在校園內舉辦資安認知活動的活動企畫書。相關資源請見http://www.staysafeonline.org/events/index2007b.html。
Sachs談到美國資安認知月如何能成功召集各方力量擴大舉行時表示,以美國來說,學術機構與政府組織的電腦化由來已久,因此他們會來參與是很自然的。至於企業,坦白說在過去的20年當中,企業對資安議題的重視程度跟不上他們對網路、資訊化的應用速度,但是近年來這個狀況已有改善,且現在大多數的網路使用者都了解到資訊安全須靠團隊合作而非個人做好就好。
至於其他國家該如何開始資安認知的推廣活動時,Sachs提出建議,最好的資安計畫就是從高階管理者的投入參與開始。如果要把資安認知的觀念帶到企業、學校或政府,一定要有人是在上位者或接近高層者,將資安認知變成一個重要的議題。否則安全的協調工作不可能做的好,如果是由下面的人來推動的話。所以組織內需要一位領導人來推動這個過程,一旦啟動了這個過程,自然幾年後也許會有它的力量延續下去。
至於這幾年下來,資安認知月的活動成效如何?Sachs表示認知的成效是很難量化的,但是以參加活動的組織來看,每年一直在成長中,今年有數千個組織參與活動。而個人貢獻資安故事、秘訣的來函也有超過一千多封。可以想見,如何跨產業集結資安能量將是推動資安認知的重要關鍵。
結論
當政府大刀闊斧推動數位台灣與行動台灣計畫,甚至勾勒「發展優質網路社會」等美好藍圖時,主管機關不能以為已獲得世界經濟論壇(WEF)、國際電信聯盟(ITU) 等國際評比機構的肯定就沾沾自喜。根據資訊安全廠商賽門鐵克的網路安全調查報告,台灣的殭屍電腦數目在亞太地區國家當中排名第二,釣魚網站數目也名列前茅。去年9月,艾克索夫實驗室對台灣主要網站所做的研究分析,有582個網站含有惡意連結。台灣網路環境處處充滿危機、陷阱,要達到優質網路社會,除了基礎設備架構完成後,包括相關法令的規範是否足夠、民眾認知程度如何提升等,有關當局仍須加把勁,我們距離真正的「優質」網路社會還有好一段路要走。