IT人員駝鳥心態 讓資安問題重複上演

抵擋不住一再的人情壓力，終於點頭答應利用某個假日，到南台灣去幫企業做一場員工的資安意識訓練。雖說只有簡餐和車馬費，但換個角度想想，要不是有這種機會，也可能很難接觸到這樣本土的傳統產業，就當成是去度假，同時傳播一些資安的想法和概念吧！

話說的雖然輕鬆，但之前的準備工作一點也不能馬虎，該製作的講義還是要做，資安的案例也要更新，不能再拿幾年前的個案魚目混珠，又把當紅的個資法熟讀了幾次，並且找了與這家公司有關的條文放在教材中，在約定的時間內把講義送了出去，沒多久對方資訊部門的人員就來電話了。

「老師，您的講義我們收到了，寫得很精彩，這樣子課程時間會不會不夠啊？」
「我想難得下來，我會盡量講，有些資料我大概只會帶過，讓同仁有印象，以後真的有需要，他們還可以翻講義，所以我講義的資料寫的比較詳細。」
「是喔！不過我還是覺得老師可以刪掉一些資料。」
「如果有些他們之前有聽過，那講義拿走一些也沒有關係。」
「那倒是沒有，我們公司以往也沒有開過類似的課程，同事應該也沒有聽過，只是我覺得有些資料可以刪掉。」

雖然心中多少會有些不舒服，但畢竟還是要尊重客戶的聲音，禮貌性的問了一聲：「那你覺得哪些資料要刪掉呢？」
「P2P可以刪掉，大家在公司裡面都沒有在用，講了會不會引起他們的好奇心？」
「嗯！這可能是我之前沒有注意到的，那這個部分我就不講了。」
「老師，你這樣課程的完整性會不會有問題呢？」
「應該還好，彼此間都可以獨立成為一個小單元，關聯性沒有這麼強。」
「這樣子喔！老師那可不可以再多刪除一些呢？」

對方似乎有一種順著竿子往上爬的感覺，但這也是我自己挑起的，頭都洗了一半，怎麼能不洗完，只好繼續問下去：「還有哪些不要留在講義上呢？」
「比如說木馬、後門這些都可以不用說，最好連社交工程都不要講。」
「木馬、後門這雖然不是新的議題，但一般使用者還是有認識的必要，再說要防堵社交工程最好的方法，就是要不斷地對使用者教育，我不清楚這個部分要刪除的原因是什麼？」
「老師你講的都對，我個人也覺得這些東西都很重要，不瞞您說，這些部分是我們公司資訊部門沒有在做的，如果你讓同仁有了這樣的概念，高階主管會要求資訊部門加強控管，到時候又是我們累得半死，如果你不講，就沒人知道，我們也可以少做點事。」

搞了半天，原來還是抱著多一事不如少一事的心情，利用一般人對資訊技術不熟悉，以為就可以掩耳盜鈴。如果是專業技能不足夠那也就算了，說的不好聽些，技術是可以加強的，但這種鴕鳥心態，是不會有特效藥能夠一、兩天就醫好。未來一旦不幸發生事情，最後的答案不是怪廠商、要不就是使用者的問題，甚至還會怪這些駭客們，為什麼要製造這麼強大的病毒，連防毒軟體都無法擋，反正千錯萬錯都是別人的錯。

我現在終於瞭解，為什麼看上去簡單的資安問題，卻還是在不同的時空和地點，不斷地重複上演著。