觀點

資安危機處理 先撇清責任再說!

2012 / 06 / 19
魯智深
資安危機處理  先撇清責任再說!

趁著過年期間,與一群資安界的朋友碰面聊聊,席間有人丟出了這樣的話題:「我們來分享一下,使用者在發生資安事件後的反應,或是資安圈中有哪些讓人印象深刻的經典名言。」

話才剛講完,馬上就有人拋出一句:「都是駭客的問題。」嗯!這是滿好的說詞,反正自家網頁上有不該出現的資料、標錯價格,都可以說和駭客有關。「你前面漏了一句,我們用封閉式系統而且有做實體隔離,絕對不是我們的問題。」此時大家腦筋都活絡了起來,遠處又傳來一個聲音「不如說是搜尋引擎的功能太強,」這句話立刻引起大家哄堂大笑,發言聲浪不斷。
「一定是使用者自己操作不當,感染病毒或被安裝木馬程式。」
「可能是使用者把密碼交給其他人,或是在網咖上網,所以資料才會外洩。」
「當事人又沒有要求要保護他的個資。」
「這只是單一個案。」
「這些都是資安廠商想的花招,事情沒那麼嚴重,真有那麼大的影響嗎?」
「只是有人惡作劇吧!」
「那些個資已經要報廢了,能不能過完年再處理。」
「都照以前的規定做,怎麼會出事,我們也百思不得其解。」
「我們有標準作業程序。」
「我們內部已經在做調查了,但沒有辦法證明資料是從我們這兒出去的。」

不知大家積怨已久,還是過年期間百無禁忌,劈哩叭啦一堆話都出來了,「病歷可以放在停車場,因為停車場屬於私有空間,而且有警衛巡視,不會有個資外洩的問題。」「我聽過類似的話,銀行開戶資料又不是會計憑證、機密文件及機敏資料等重要資料。」「外洩的個人資料檔案已經超過保存期限,所以根本不會有影響。」「已經根據輿情將所有外洩的資料予以立即刪除。」「我們會加強內部宣導。」

此時,一位資安前輩站了起來,緩緩地說出了:「各位,最經典的是,個資又不是氣體,怎麼可能外洩….」

雖說過年期間,大家開心就好,但真的越聽越膽戰心驚,以往教科書只談到有關異常事故的處理,很少提及該如何對外回應,沒想到我們的使用單位卻可以把它發揚光大,只差沒寫教戰守則出來,反正千錯萬錯都不是我的錯,就算真的發生問題了,還是可以找到一堆理由硬掰。我在想,是不是要用閒暇時間來寫一本台灣資安發展史,前述這些言論,則是最好的番外篇素材。