https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

IT人員駝鳥心態 讓資安問題重複上演

2010 / 11 / 08
魯智深
IT人員駝鳥心態  讓資安問題重複上演

抵擋不住一再的人情壓力,終於點頭答應利用某個假日,到南台灣去幫企業做一場員工的資安意識訓練。雖說只有簡餐和車馬費,但換個角度想想,要不是有這種機會,也可能很難接觸到這樣本土的傳統產業,就當成是去度假,同時傳播一些資安的想法和概念吧!

話說的雖然輕鬆,但之前的準備工作一點也不能馬虎,該製作的講義還是要做,資安的案例也要更新,不能再拿幾年前的個案魚目混珠,又把當紅的個資法熟讀了幾次,並且找了與這家公司有關的條文放在教材中,在約定的時間內把講義送了出去,沒多久對方資訊部門的人員就來電話了。

「老師,您的講義我們收到了,寫得很精彩,這樣子課程時間會不會不夠啊?」
「我想難得下來,我會盡量講,有些資料我大概只會帶過,讓同仁有印象,以後真的有需要,他們還可以翻講義,所以我講義的資料寫的比較詳細。」
「是喔!不過我還是覺得老師可以刪掉一些資料。」
「如果有些他們之前有聽過,那講義拿走一些也沒有關係。」
「那倒是沒有,我們公司以往也沒有開過類似的課程,同事應該也沒有聽過,只是我覺得有些資料可以刪掉。」

雖然心中多少會有些不舒服,但畢竟還是要尊重客戶的聲音,禮貌性的問了一聲:「那你覺得哪些資料要刪掉呢?」
「P2P可以刪掉,大家在公司裡面都沒有在用,講了會不會引起他們的好奇心?」
「嗯!這可能是我之前沒有注意到的,那這個部分我就不講了。」
「老師,你這樣課程的完整性會不會有問題呢?」
「應該還好,彼此間都可以獨立成為一個小單元,關聯性沒有這麼強。」
「這樣子喔!老師那可不可以再多刪除一些呢?」

對方似乎有一種順著竿子往上爬的感覺,但這也是我自己挑起的,頭都洗了一半,怎麼能不洗完,只好繼續問下去:「還有哪些不要留在講義上呢?」
「比如說木馬、後門這些都可以不用說,最好連社交工程都不要講。」
「木馬、後門這雖然不是新的議題,但一般使用者還是有認識的必要,再說要防堵社交工程最好的方法,就是要不斷地對使用者教育,我不清楚這個部分要刪除的原因是什麼?」
「老師你講的都對,我個人也覺得這些東西都很重要,不瞞您說,這些部分是我們公司資訊部門沒有在做的,如果你讓同仁有了這樣的概念,高階主管會要求資訊部門加強控管,到時候又是我們累得半死,如果你不講,就沒人知道,我們也可以少做點事。」

搞了半天,原來還是抱著多一事不如少一事的心情,利用一般人對資訊技術不熟悉,以為就可以掩耳盜鈴。如果是專業技能不足夠那也就算了,說的不好聽些,技術是可以加強的,但這種鴕鳥心態,是不會有特效藥能夠一、兩天就醫好。未來一旦不幸發生事情,最後的答案不是怪廠商、要不就是使用者的問題,甚至還會怪這些駭客們,為什麼要製造這麼強大的病毒,連防毒軟體都無法擋,反正千錯萬錯都是別人的錯。

我現在終於瞭解,為什麼看上去簡單的資安問題,卻還是在不同的時空和地點,不斷地重複上演著。