這次事情真的大條。掉了7千萬筆個資的Sony CEO在電視新聞當中深深一鞠躬道歉的畫面,看在資安人員眼中,內心應該百味雜陳。為了資安,有些CEO出面是來道歉、進行事後緊急處理;有些CEO是接受表揚,因為他們重視,他們玩真的。資安,做與不做都是要花錢,CEO你想先花還是後花?
最近這一兩個月,傳出許多令人震驚的入侵攻擊事件,不僅是入侵的問題原因令人不敢置信,也因為影響層面之大而令人訝異。仔細看看這些公司中彈倒地的原因,HBGary是因為找上駭客組織Anonymous作為社交媒體「演練」對象,而惹毛他們,所以被社交郵件釣中,導致內部幾萬封機密郵件資料全外洩;憑證公司Comodo被入侵的原因,姑且不論背後是否有政府網軍支持,他們是因為Web系統程式寫的不夠安全,才有機會被偽冒發行憑證;而Sony事件,牽扯到竄改產品的專利侵權及訴訟問題(雙方各有各的立場,姑且不論對錯),而導致報復攻擊。令人驚訝的是,Sony、Comodo這些都是利用網路提供服務的公司,照理來說比起其他公司更應做好起碼的防護,但事後發現他們的資安水準,距離好還有一段落差。(詳細內容請見本期文章)
從另一個角度看,這些企業之所以受害是因為惹毛駭客而被攻擊。從什麼時候開始,駭客技術已經像槍砲武器那樣,擁有入侵技術者只要一些原因或看對方不爽,就可以發動DDoS癱瘓他家系統,或竊取他客戶資料。不知網路世界是否也需要「槍砲彈藥管制法」來規範這些駭客攻擊武器?!尤其網路犯罪比起實體犯罪不僅更難抓到犯人,而且網路犯罪還會波及無辜,舉凡這些Sony PSN的使用者,或萬一不幸連上Comodo假憑證網站的使用者,其資料外洩、身分被冒用…影響範圍無遠弗屆。我不禁想,將來是否網路犯罪問題會成為聯合國討論議題之一?那表示問題已經嚴重到這個程度,希望不要有那一天。
上個月台北國際資安展圓滿落幕,在期間的一場政府座談會,科顧組柴主任提到了數位鑑識產業以及機制的相關計畫方向。雖然只是起步,但這個方向的確是目前網路產業最欠缺的,也最需要政府帶頭規劃的領域。當法制環境就緒,接下來就看執法機關的執行力道。另外,我們不斷呼籲資安是企業社會責任,但也希望這個社會責任的落實應該由所有消費大眾一同來監督,用你的力量來抵制不願負責任的業者。