資安不是last mile, 而是第一哩

2015 / 04 / 07

編輯部

    礙於人情的壓力，接下了一個專業案件的審查工作。當初，說的很簡單，只是要找些業界的專家學者，這樣子才能顯示專業性及獨立性，就當作是充實自己的經歷，在半推半就的邀請下，加入了審查的工作。

    剛開始也還算單純，雖然不是那一個領域的專業，但稽核做久了，要找出一些問題還不困難。這一天執行秘書打了個電話來，說有一個案子一定要幫忙看一下，剛開始還不在意，拿到了計劃書才讓我嚇了一大跳。這年頭做研究非得要拿些新的名詞來嚇大家，看看標題赫然大數據這幾個字就夾在裡面。這個議題最近吵得很熱門，基於好奇心的驅使，找了一個周末假日準備來看看專案的內容。在專案目的上就有說明，說要結合臺灣近二十年來，包括氣候、環境、經濟成長、收入、教育等數據資料，來研判其中的關連性，並找出新的商業模式。其中收入、教育等資料，會將個人資料隱藏後加以運算。但到底隱藏了那些資料，或是這些資料的來源是從那裡來的，卻在整個專案計劃中完全沒有看到。

    除此之外，整份的專案計劃只寫到需要使用到上百台的電腦主機，但到底這些機器是運算的機器，或是資料來源，在整份專案計劃中是隻字未提。這下我終於了解為什麼執行祕書一定要我看過的原因，如果真的是如專案標題所敘述的，顯然這份研究計劃會涉及到為數眾多的資料運算，其中還包括許多個人資料，姑且不論資料取得的來源是否合法，光是看資料的欄位就知道有包含一些敏感性比較高的資料，再加上又使用大量的資訊設備，很顯然對資訊安全的要求也就更高。但是整份文件我從頭到尾看了兩次，就只看到一句依照權責劃分賦予不同的電腦使用權限，然後附上了一張與研究專案無關的網路架構圖。我不禁懷疑，當初在寫這份計劃的人員，難道只是為了要送審案件才產出這份計劃嗎?

    再仔細往下看下去，從專案計畫主持人，還有各分項協同專案負責人，要不就是某大學資訊系主任，再不然就是某某電算中心的負責人，放眼望去，學歷都是博士，還都是資訊相關的，這就讓我覺得更訝異。這些人好歹都是和資訊作業有關，而且都不是大學的新鮮人或研究生，為什麼資訊安全這個議題在這些人送出的專案中根本不存在。我們喊了那麼多年的資訊安全，卻在最基礎的學術研究中完全無法呈現，難道是真的這個議題太艱澀，以致大家都不敢碰。還是根本覺得這個議題不會有人關心，反正是學術研究，專案執行比較重要，幹嘛要寫那麼多?

    太多種的可能，只是我更擔心的，如果基於我的專業經驗，寫下了相關的審查意見，會不會又變成資訊界另外一隻人人喊打的老鼠?