台灣的經濟奇蹟,是由中小企業主胼手胝足所創造,特色是「小成本」,但做的是「大生意」(台灣有許多小而美的特色產業在全球供應鏈中,竟然是世界數一數二品牌的供應商),其中不乏許多的營運資料是會有人感興趣的。此外,也有很多中小企業因為營運需要蒐集了很多的個人資料。舉幾個行業別為例:旅行社、租書坊、K書中心、補習班、診所等。回到剛剛的問題,請問入侵這些中小企業的網路並取得資訊容易,還是打穿Yahoo、PChome的層層網路安全防護罩容易?
我想,如果是以犯罪與獲取利益為導向的怪客(Cracker),答案已經很明顯。
非得等到出事 才開始做資安
近來有許多的資訊安全事件屢屢發生,但若您有注意到,是否所談論的案例,不是大企業的管理疏失,就是消費者的資料外洩。卻鮮少在案例中發現中小企業的資訊安全事件,我們都知道,中小企業的資安架構一定不如大企業,那很少耳聞的原因何在?是中小企業的資料較不重要?還是中小企業的資訊較無攻擊價值?
筆者認為事實上中小企業不是不會遇到資安問題,而是已經一點一滴的遭受入侵或外洩等損害卻不自知,其所面對的資安問題與大企業相比未必會較少,而其所造成的損失更不亞於大型的電子商務平台。舉例來說,若某旅行社的護照與旅客資料外洩,或某診所的病歷資訊外洩,會有多嚴重的後果?即便是較少個人資料的中小型製造業,也可能在一夕之間就損失其累積的專業技術與know-how,中小企業主多年努力所創立的公司瞬間就可能瞬間瓦解,事實上這樣的案例屢見不鮮。
中小企業資安問題案例探討:
案例1 員工離職資料隨手攜
去年下半年的金融經濟風暴,很多企業為了緊縮人力成本,不得不資遣員工。許多企業員工得知自己即將離職,均紛紛預作「準備」。瀰漫這樣的氛圍,在絕大多數中小企業的資安防護體制內,員工要帶走自己日常工作的資料實在易如反掌。
許多企業主在發生帶槍投靠的案例後,才驚覺這些問題不可不重視,於是開始購買防資料外洩解決方案,如防制資料外洩(DLP, Data Loss Prevention ),或數位版權管理(DRM, Digital Rights Management)等系統。使得此類解決方案的銷售業績在2009年不景氣的大環境中仍能微幅成長。
此一現狀除看出企業主遇洞才補洞、亡羊思補牢的心態外,也呈現了中小企業不願面對現實的鴕鳥心態,說服自己不會遭遇類似問題,為了節省成本,平時不去強化資安體質,更有甚之,很多的中小企業遇到上述的狀況,選擇的因應方法是鼻子摸摸就算了,這次損失認賠殺出,卻不思停損與強化體質,再一次的說服自己不會這麼倒楣連續發生資安事件。
在筆者這幾年的資訊服務經驗中,曾看過數家的中小企業用戶,發生過企業內幾位核心人員集體跳槽,甚至帶走產業資訊出外創業,再回頭棒打老東家的情況。
遺憾的是,在中小企業的營運過程與環境中,相對重視人情味與人性化管理,許多該做的稽核控管都未能注意,因此中小企業相當難杜絕類似的事件發生。
案例2 看不到損失 漏洞又如何
某旅遊服務業者H公司,在發生web站台有問題被資安烽火台警示、被大砲打中、也被資安之眼報導後,在媒體曝光的壓力下,他們向筆者求救。
於是,筆者協同資安廠商前往說明web滲透測試,我想這算是對症下藥了,滲透測試人員提供專業的服務能量,並幫H公司取得相當優惠的服務價格,MIS人員了解所提供的服務價值,於是馬上向上提報,但MIS向企業主好說歹說,不管怎樣報告就是過不了。
然而日前H公司卻被有心人士透過該web漏洞進行惡意行為,使內部系統遭受很嚴重的攻擊,甚至嚴重到密集且不定期的刪除後端的資料庫,該客戶MIS只能被動的在問題發生時回補資料,倒備份資料回去,但還原之後又會再被侵入刪除,反覆的進行回覆,但問題仍然存在。
於是「救命啊!」的聲音又來了,向筆者求救的時候都快哭了,這時候已經來不及後悔當時沒做(事實上也由不得MIS吧)。
我想分享到此,資訊服務業者也有切身的感覺了,在服務中小企業時很多的癥結會在於,再好的service在很多的企業主前是看不到價值的。
大多數的中小企業遇到類似狀況,都跟H公司一樣會有鴕鳥心態,只要問題還沒造成具體的損失,就先「看看狀況」吧,久了反正媒體也沒報導了,就習慣、也忘了這件事。看似事過境遷了,但弱點或問題有消失嗎?沒有,只是還沒爆發!
那出事之後究竟該怎麼解決呢?很多資訊服務業者會說解決方案很多,那用網頁應用防火牆(WAF)來進行阻隔?或原始碼檢測(Code Review)以修補web系統漏洞?事實上,動不動就高達七位數的解決方案,所有中小企業都會遇到一樣的問題──根本就買不起。假設先借WAF給該企業應急,或許可暫解燃眉之急,但難道借測期到再將WAF拔走?或許拔走的那刻,對MIS人員更是殘忍。
經過筆者的努力H公司目前已經解除危機,處理過程不重要,但這案例反映出很多中小企業所面臨的狀況,中小企業他們不需要照顧嗎?其實,正因為中小企業認知與專業不足且欠缺資源,反而更需要被照顧。長期缺乏照顧的結果就是永遠在亡羊補牢,永遠無法真正的提升資安體質。
了解自己弱點 挑選適用的控制措施
中小企業在選用資訊安全解決方案時,若是可用性與有效性這兩個大原則無法符合中小企業的需求,那再好、再進步的資訊技術也無法被接受。現階段很多高階的解決方案對台灣中小企業都是不切實際的,價格當然是其中的一點,但就算買得起,常見的問題是無適當的人員能妥善駕馭該解決方案,僅有Technology卻沒有people與process,解決方案再好一樣無法發揮效益。
有些中小企業給我的聲音是,某些資訊服務業者遇到這樣的狀況後,認為中小企業較無資安認知,或買不起對症下藥的解決方案,就不願意多花心力在服務這個族群,使中小企業在資安領域中成為無人可伸出援手的孤兒。
資訊安全的問題隨著環境與技術的改變日新月異,值得注意的是在某些安全問題,並不會因為企業大小而有所不同,特別是在網路安全部份,有許多的攻擊是在網路上隨機挑選IP或站台的,中小企業萬不能存有僥倖心態。在資源不如大型企業的情況下,中小企業的資訊從業人員更要謹慎保護自我賴以維生的資訊與營運資產,並適切了解自身的弱點,挑選適用的控制措施加以補強,切忌一味追求新卻未必合適的資安產品,用20%的資源達到80%的安全,如此才能活化有限的資源,將整個中小企業的資安體質最佳化。
本文作者為資訊服務廠商資訊安全規劃經理