https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

資安不是last mile, 而是第一哩

2015 / 04 / 07
編輯部
資安不是last mile, 而是第一哩
    礙於人情的壓力,接下了一個專業案件的審查工作。當初,說的很簡單,只是要找些業界的專家學者,這樣子才能顯示專業性及獨立性,就當作是充實自己的經歷,在半推半就的邀請下,加入了審查的工作。

    剛開始也還算單純,雖然不是那一個領域的專業,但稽核做久了,要找出一些問題還不困難。這一天執行秘書打了個電話來,說有一個案子一定要幫忙看一下,剛開始還不在意,拿到了計劃書才讓我嚇了一大跳。這年頭做研究非得要拿些新的名詞來嚇大家,看看標題赫然大數據這幾個字就夾在裡面。這個議題最近吵得很熱門,基於好奇心的驅使,找了一個周末假日準備來看看專案的內容。在專案目的上就有說明,說要結合臺灣近二十年來,包括氣候、環境、經濟成長、收入、教育等數據資料,來研判其中的關連性,並找出新的商業模式。其中收入、教育等資料,會將個人資料隱藏後加以運算。但到底隱藏了那些資料,或是這些資料的來源是從那裡來的,卻在整個專案計劃中完全沒有看到。

    除此之外,整份的專案計劃只寫到需要使用到上百台的電腦主機,但到底這些機器是運算的機器,或是資料來源,在整份專案計劃中是隻字未提。這下我終於了解為什麼執行祕書一定要我看過的原因,如果真的是如專案標題所敘述的,顯然這份研究計劃會涉及到為數眾多的資料運算,其中還包括許多個人資料,姑且不論資料取得的來源是否合法,光是看資料的欄位就知道有包含一些敏感性比較高的資料,再加上又使用大量的資訊設備,很顯然對資訊安全的要求也就更高。但是整份文件我從頭到尾看了兩次,就只看到一句依照權責劃分賦予不同的電腦使用權限,然後附上了一張與研究專案無關的網路架構圖。我不禁懷疑,當初在寫這份計劃的人員,難道只是為了要送審案件才產出這份計劃嗎?

    再仔細往下看下去,從專案計畫主持人,還有各分項協同專案負責人,要不就是某大學資訊系主任,再不然就是某某電算中心的負責人,放眼望去,學歷都是博士,還都是資訊相關的,這就讓我覺得更訝異。這些人好歹都是和資訊作業有關,而且都不是大學的新鮮人或研究生,為什麼資訊安全這個議題在這些人送出的專案中根本不存在。我們喊了那麼多年的資訊安全,卻在最基礎的學術研究中完全無法呈現,難道是真的這個議題太艱澀,以致大家都不敢碰。還是根本覺得這個議題不會有人關心,反正是學術研究,專案執行比較重要,幹嘛要寫那麼多?

    太多種的可能,只是我更擔心的,如果基於我的專業經驗,寫下了相關的審查意見,會不會又變成資訊界另外一隻人人喊打的老鼠?