就在截稿前,傳出資安顧問破解悠遊卡的新聞──一則不能算是”新”聞的新聞事件,因為主角是話題性十足的年輕駭客,使得資安議題罕見地引起三大報同時用頭版頭條、專題的方式來報導,電子媒體也在每節新聞重複播放還加上跑馬燈快報。如此盛況,我想,只差沒有派出SNG車,連線老家的親人或是以前的老師、同學了。
這起事件,幸好是有後台交易監控機制加上超商的攝影機,所以悠遊卡公司只損失39元加上順利逮捕嫌犯,甚至用他來殺雞儆猴,達到警示目的。但也讓人不免覺得管理階層對於風險的觀念恐怕仍有改善空間。早在三年前國外傳出Mifare Classic晶片破解技術、市議員質疑悠遊卡安全性的時候,悠遊卡公司、行政首長仍對自己多道防護機制信心滿滿,「不可能被破解」言猶在耳。這番話,不知是為了維持民眾對金融秩序的信心還是因為無知而自大?
太多的資安事件,我們總是看到主事者認為「我不可能被攻擊」、「我們從來沒發生問題」,但就連Google、RSA等公司都難以避免,何況一般企業。至於說自己從來沒發生問題,那更可能是從來沒發現有問題,而非問題不存在。
面對資安事件,許多企業總是抱持著出事了再說的心態。但如今真的出事了,事後的檢討、官方處理與回應的態度更是大家關注的重點。日前運動彩券舞弊事件,管理階層一開始也早就知情,卻為了擔心影響彩券銷售而一味地粉飾太平,畢竟紙包不住火,延誤處理反而對於企業社會責任做了不好的示範。
我們知道資安不可能做到百分百,一旦有心人士要入侵,沒有什麼是不可能的。所以重點不在於被入侵,當然事後必須徹查問題根本原因,把洞補起來。一位資深資安主管曾談到,前提是企業必須制定一套風險管理機制,有了機制,才能隨時反應。
資安就跟實體安全一樣,必須派專人巡守,依照威脅情況動態調整防護策略,如果什麼機制都沒有,或者擺了設備不看報表只是應付虛設。如果沒有人、沒有機制、也沒有設備,那萬一出了事恐怕很難推說,已經盡了「善良管理人責任」。