企業整併磨合 從一場資安事件處理開始

雖說景氣還在逐步復甦，但母公司合併的動作卻從來沒有停過，前些日子又風光的舉辦記者會，宣布合併了一家老字號的同業。人員訪談、資產盤點、流程比對…各項工作又如火如荼的展開。正在忙的不可開交之際，好友J在我的MSN上丟了一個網址，還留了一句話「有空自己上去看看吧！」。帶著一份好奇，連上的網頁，是一個對岸的駭客論壇，討論的主題是某一個網站被入侵後的結果，看著一張張被貼上去的圖片，那個網站也是被攻擊的體無完膚。再往下看看回應，似乎故事中的主角，與我們即將合併的企業有著諸多雷同的地方，經過再三比對，連小小的商標都和那家合併的企業相同，幾乎可以確定，被入侵的單位，就是要和我們合併的公司。

知道了這樣的訊息，雖然是在這個時間點，但還是依循著過去的機制通報，同時也將這個訊息，傳到了合併小組。沒想到很快就得到對方公司的回應，只是所提出的要求讓我們傻眼。原來對方的防火牆年代太久了，連修補程式在網路上都找不到了，也沒有再簽維護合約，就和孤兒一樣。好不容易透過我們的協力廠商，找到同款防火牆的修補程式，卻又不曉得是因為操作程序不對，還是有其他的設定出了問題，沒想到修補程式上去了，居然造成整個防火牆停擺。情急之下，只好趕快先幫他們找了備品來替代。光是一個防火牆就已經把大家搞得七葷八素了，更別提後面應用程式的修正了。

災難還沒有結束，陸陸續續從對方公司中傳出不同的耳語，先是「有個資安的編組就了不起，什麼事情都要有資安人員的參與，簡直就是官僚。」又開始傳說「公司成立五十幾年，以前還不是什麼都沒做，也都沒有出事，現在簡直是自己搬磚頭砸自己的腳，又花錢又阻礙公司的進步。」到後來連這樣的說法都出來了：「提供個修補程式都會有問題，要不是給了個錯誤的程式，防火牆也不會出問題。以前是多麼專業的人員在管理，現在是小孩玩大車…」各式各樣的流言不斷湧出，似乎試圖要說明一件事──都是資安惹的禍。

唉！明知是這樣的情形，我能說些什麼呢？尤其又是在這樣敏感的時刻。每個人都想證明自己是對的，本來就是人性使然。做資安被人倒打一耙，也不是第一天的事。我只是不明白，居然有時間在那說三道四，但是卻沒有時間思考一下自己該多做些什麼事。公司的名譽、顧客的權益，這些都可以放在一旁，如何進行一場場赤裸裸的內部鬥爭卻較為實際。更讓我覺得害怕的，是不知道還有多少的未爆彈沒有發現，卻用一句「以前都沒有發生」把它掩蓋過去。這樣的企業文化，是我遇見的一個特例，還是臺灣社會的一個常態？我不知道，也不知道是不是有那一位先賢聖者可以告訴我，如何去調整這種掩耳盜鈴的心態？