隨著網際網路的普及,網路安全議題不再僅是資訊安全人員的問題,它與一般大眾息息相關。資安人透過網路問卷調查方式,以隨機取樣進行「2009年資安事件回顧與展望大調查」,在206份有效回收問卷中受調查者的身份包含一般網友(34.9%)與資安相關人員(65%)。問卷調查出爐,從數據中我們可以看見,一般網友們看待資安議題的趨向與對於未來資安趨勢的看法。
企業家賊難防 增加員工資安認知
有人認為,對企業來說,佈署資訊設備是一項奢侈的投資,而「安全」則是在難以端倪問題徵兆的風險管理中所必須做的預防,因此維護資訊安全的難,就難在這了。我們在針對資安從業人員所設計的資安環境的回顧與展望調查中發現,資安從業人員在過去維護資安的經驗中,認為所面臨最大的障礙,關鍵依舊還是在「人」。第一名「其實都是人的問題,內賊最難防」佔28%,其次是「預算有限,錢要花在刀口上,資安先擺一邊吧!」(20.3%)和「企業內部無權限分類資料分級概念」(20%)(圖1)。為了建立完善的風險管理概念,該如何提升企業資安意識?多數的資安從業人員認為,要「增加員工資安認知訓練」(30.9%),其次是制訂企業內部更完善的資安政策(24.7%),第三名是「企業內部權限分類與資料分級」(20.6%)(圖2)。
在上述兩題中「其實都是人的問題,內賊最難防」呼應「增加員工資安認知訓練」,兩者皆落在第一名,顯見在資安從業人員認知中,要解決資安的問題,「治理好人的問題」是首當其衝的要點。再者,「企業制定更完善的資安政策」落在改善方法的第二名,突顯資安從業人員期盼能在更有效益的企業政策協助下,執行資訊安全的控管。在國內如出一轍的案例,是近期半導體龍頭聯發科,爆發兩名員工攜帶機密資料跳槽至競爭對手晨星科技的事件,堪稱為經典案例。這起事件之所以能夠將外洩員工糾舉出來,其企業落實執行「內部稽核」是關鍵原因。而「企業內部稽核」的立基點,必須透過「企業內部權限分類與資料分級概念」,將資料分級控管好讓稽核的價值有效發揮,人員控管與內部稽核兩者蟬聯的關係,是企業除了設備部署之外,應花更多心思經營。
內憂:網拍網購洩個資 資訊犯罪今非昔比
2009年是「洩光光」的一年,個人資料的價值在每起個資外洩事件爆發的過程中,價值一點一滴的被褻瀆而真正成了「個資無價」;人為疏忽與駭客犯罪變成了相互替代的藉口;這樣的代價是否真的有換得越來越多人正視資安問題?調查報告顯示,網友們認為2009年國內影響最深的重大資安事件,以「網拍、網購個資外洩」最為重大,佔23.6%居冠,次為「電視購物台個資外洩」有16.7%,第三名是「Hotmail/Gmail帳號密碼外洩」佔13.3%(圖3)。入榜前三名的項目與警政署刑事警察局統計,98年1-11月詐騙犯罪類別極為雷同:網路購物資料外洩與網購未收到的詐騙件數,合計佔總報案的數據7成,顯示出隨著網際網路的普及與應用,消費型態的改變使網拍與購物台消費糾紛頻傳,犯罪手法也隨著突變轉型,網際網路的變化與革新,使得其內藏的資訊犯罪威脅,成為多數人未來心目中莫大的隱憂。
外患:全球蠕蟲中國鬼網 上億金融交易外洩
相較於國內的資安事件就發生在我們身邊,國外的資安事件對台灣而言雖無直接衝擊,但世界地球村的相互影響,衝擊效應仍有潛在危機。網友們認為,2009年國外最印象深刻的重大資安事件,第一名的是「Conficker蠕蟲感染全球1000多萬台電腦」佔19.1%,第二名是佔18.2%的「大陸駭客佈下鬼網入侵103國」,第三名是「Heartland金融交易系統遭駭 1億筆資料恐外洩」佔17.9%(圖4),入榜前三名的國外資安事件排名,依序以「全球性影響」、「關注中國動向」與「有上億筆金融交易外洩」因其涉及範圍廣、議題性高和影響數目大,成為網友們心目中相對重大的資安事件。
展望2010 步入雲端 資安防護別密雲不雨
隨著網際網路鋪天蓋地的衝擊與商業活動全球化的變革,前瞻人士可以看見「一項」以上趨勢,但有誰能掌握「全部」的趨勢?資安一直是防範未然的工作,無論是個資外洩、企業被攻擊、社交網被駭,所有正在促使改變過去、創造未來的洪流除了正直撲我們而來,後續發酵所產生的問題與單一責任的歸屬,就像海平面下的冰山,既是看不見的未知,也是模糊不清的地帶。
展望未來,資安從業人員認為2010年最夯的資安應用趨勢,一片倒認為是「雲端技術服務」(28.2%),再者為「網頁安全解決方案,如WAF、Web弱點掃描、滲透測試」(13.2%),第三名則是「資料中心/網路設備虛擬化」佔(10.4%)(圖5)。而2010年網友們最不希望發生什麼樣的資安問題?其中「信用卡被盜刷」居冠,有27%,其次為「網路銀行帳戶盜領」
(26.5%),前兩名與個人財務控管和網路銀行相關,第三名為購物網站爆個資外洩,佔20.8%(圖6),綜觀排名是如此,但經過交叉比對分析後顯示,有37.1%的一般網友們最擔心的是信用卡被盜刷,有36.3%的資安從業人員則擔心網路銀行帳戶遭盜領,顯見資安從業人員與一般網路使用者在生活習慣上,所關注與憂心的資安問題角度並不相同。
企業內稽內控若沒有妥善落實而輕忽人的問題,很容易因為一時大意葬送了企業價值不斐的機密資產,最終面臨「攜花上墳,只成追憶」的無奈,絕對是企業主百般不願遇見的窘境。隨著科技的發達,犯罪途徑從過去現實生活移轉到網路虛擬平台,犯罪手法更不可同日而語,家賊依然會是部署完善的資訊安全設備之後,難以避免的天敵。
「人的問題擺不平」是未來資安議題中的重點課題,而且歷久彌新。