魚與熊掌兼得的安全？

法規遵循撐起半邊天
在911事件之後，整個管理界的高層，對於安全問題，無法再抱持著鴕鳥心態坐視不管。

「安全必須要被不斷地宣導！就這一點來說，遵循法規對所有安全實踐者就是一種正面積極的鼓勵。」美國俄亥俄州Columbus市的美國電力公司IT安全工程處主任Jerry Freese說。事實上，一些需要高度治理的工業，例如電信業、零售業和金融服務業，於去年CSI/FBI所作的年度調查報告裡，超過60%的受訪者認為沙賓法案的確幫助他們提升在資安層面的認知與興趣。

相對於資安管理人員來說，法規遵循一事更促使管理的聚焦有了很重大的轉變！幾年前，所謂的IT安全就是僅止於在技術層面上的防禦工事：網路存取控制與區間隔離，各類Anti-X的軟體，以及日新月異的入侵偵測感應裝置。當時，不少的首席資安官習於Unix指令操作，就如同現在使用瀏覽器上網一樣悠遊自在：每天花上數小時的時間，利用又臭又長的命令列指令監看那些只有他們才了解的防火牆規則。所以，IT安全的管理重心，會落在可能讓犯罪者有機可乘的網路角落和應用程式的缺口上。

「回顧過往這段日子，就許多層面看來，我們認為這樣的IT安全算是簡單多了。」Hession說，「只不過，遵循安全管理法規這事改變一切！」

伴隨著數把個月史無前例的資料外洩情事，這些受到社會高度關注的企業帳目醜聞事件顯然改變了原來的安全景緻。到後來，也由於負面新聞的報導愈來愈多，所以安全管理的條款也就跟著愈修愈多。

沙賓法案改變的是公眾企業對於金融資訊的管理方式。就像是2001年通過的美國愛國者法案(Patriot Act)，裡頭所條例規範的是空前未有的安全報告和客戶監督需求，而2002年的聯邦資訊安全管理法案(FISMA)更是受命提高各聯邦機構的電腦安全等級。此外，美國境內超過30州均以加州馬首是瞻，紛紛通過近似於加州SB 1386法案的資料外洩通報法。再者，一堆業界規格的法案，像是跟保健醫療有關的醫療保險可攜性與責任法案(HIPAA)安全條款，還有信用卡產業資料安全標準(PCI-DSS)，以致於到最後，安全管理人員被迫在安全與法條之間取得一個平衡，或許他們還得痛苦地作出不會讓整體環境更加安全的抉擇。

「管理安全的法規儼然成為新一代的安全威脅！？」Burton Group研究機構的安全分析師Pete Lindstrom說。



是管理亦或被管？
不過，受到充份管理的好處，就是總能提醒著企業更了解自身的危險究竟在那兒？一份於2006年由世界級顧問公司Ernst & Young針對48個國家共計1,200份問卷回函，所作成的全球資訊安全調查報告發現，在沙賓法案實施的三年之後，視達到法規規範標準為首要項目的IT資安團體，就佔了56%的比率，而47%受訪者認為要作到個人隱私及資料保護，滿足企業政策需求的則佔38%。

「不過，過多的條文規定的確在管理面上造成相當程度的分心！」Gartner安全分析師John Pescatore說，「無論是何種法條規範，都會降低企業整體性的安全。」

Pescatore舉沙賓法案當中的規定－需要每季變更一次密碼為例。「這個方式其實反倒是降低安全的『保證』！後果就是人們會選擇容易記憶的密碼，不然就是採用愚蠢到難以忘卻的密碼。」Pescatore說。整體會導致一個情況－客服不斷地接到要求重設密碼的請求，而此舉則相當容易可以矇過客服人員。「此時，會有二件糟糕事因此發生：一是降低企業整體的安全性，另一件則是榨取能強化安全體質之專案的預算。」

不過，許多資安官同時也爭論管理規章的種種，像是稽核管控、程序和滿足稽查官的胃口上作的太過火，事實上，這些事情反倒是提高原本規章中所要保護之資訊的風險。Pescatore指出造成這種情況的原因，是企業對於滿足法條規範的要求與否，乃取決於管控項目數量的多寡，及提高管控項目數量作為判斷依據。「企業會認為風險已經降低，只因他們手上目前所備有的管控規則，相較往年的800條而言，如今提高到1,200條應該會更加地安全！但是你要知道，提高規則數量這件事跟『更加安全』並未劃上等號，其實，是有可能在只擁有600條管控規則的條件下，企業們反而可以將事情做得更好。但現階段，我們看到人們似乎比較專注在滿足稽查人員的要求上，而忘了真正其目的是在保護企業本身！」Pescatore說。

General Motors的Litt則解釋管理規章所設立的底限，增加了法規遵循的難度。「遵循這些安全法規反倒帶來一些反效果！我們可舉三間公司為例：A公司完全沒有做好法規遵循的任何準備，而B公司則在管控上達到某種層級的標準，另外，C公司不僅主動發現問題所在，而且還預先防止這些情況的發生。但是，到最後的結論卻是－三家公司通通不符合規範。問題出在那兒呢？A公司被評為完全不作準備，B公司未充份預先防止安全狀況發生，而C公司呢？則被評以未成熟之科技進行管理，偏離正常標準太遠。」「到最後，除了未獲得相應的成效以外，也無法與本身所制定之安全政策達成一致性。」

AT&T副總兼任資安官Edward Amoroso將安全標準需求比擬作一般商品上所貼有的某實驗室擔保的小標籤紙，而這張小紙片所代表的意義就是某種程度的品質量測保證。

「你是否能想像買了一盞小檯燈，而上面佈滿了50張的保證標籤：有通過SAS-70的品管保證、經過ISO認證，也有GLBA認可，連沙賓法案的認證都有，那麼，再想像一下，部份瘋狂保證檯燈安全的人士，啜飲著咖啡，一副睡眼惺忪的樣子，高喊著我們終於達成通過50項安全認可的目標，說穿了，其實就只為了確保這盞檯燈是安全的。是的，沒錯！那就是現在我們的蠢樣！」Amoroso接著說，「不只一張，而是50張的品質保證標籤，全部都在講同一件事，像這樣的情況，我們卻仍要曠日費時地花上許多時間來滿足不同的稽核人員和不同的稽核團體？難道不能更有效率地只接受較大眾性的安全準則嗎？像是財會專家都有的一般公認會計原則(GAAP)。」

在很多情況下，即使是貼滿了各種保證標籤，也不能保證商品的安全。CAAI International資訊保全部副總Bruce Brody表示，不少單位也都遵循美國聯邦資訊安全管理法案(FISMA)的規範標準，但是，他們依然存在著不少糟糕透頂的安全問題。

「FISMA法案第一階段的標準程序就是風險分析。而許多單位一開始就會面對到過多風險的問題，不過，他們都會將管理程序和控制辦法預先就定位，用以驗證其風險是屬於低等級部份。所以，其實這些機關的系統都甚不安全，他們並未考量到系統與系統之間相連部份的風險，或者是因轉包商以及商業連結所造成的風險問題。也因此，這些單位曝露在眾多的威脅之下，然而他們又是符合安全規範的。」，Brody說。

那也就是為何Freese會說，不管該規範有多麼地重要，我們仍然要把焦點放在保障系統安全層面才是。「遵循法規並非標竿，能夠滿足企業本身的安全需求才是我們所應該達到的目的！」Freese如是說。


天秤兩端
溫哥華市西南華盛頓醫療中心資安長Christopher Paidrin本身在執行安全和符合法條規範(HIPAA)方面，是以技術為導向的忠實信徒。為了確保病患資料的機密性和安全性，無論何時，只要護士或者是醫療服務提供者將資料儲放於個人筆記型電腦當中，該筆資料會在登出系統或系統時間到期後，進行加密保存。而要是忘記加密用密碼，那麼，該系統的硬碟會在嘗試三次後自動上鎖！

「我們希望所有人員可以充份享受科技所帶來的功能性和便利性，但是我們卻不想發生諸如最近醫療院所和政府機關所遭遇到的安全問題。」Paidrin又說，「當資料不用的時候，把它加密保存，是能夠避掉上述這些問題的！」

這個例子其實說明了安全與法規是毋需相左的。關於這一點，喬治亞州Checkfree Corp首席資安官Edward Sarama應該是再清楚不過了！他認為法規遵循所帶來的成效，確實將其安全程序有次序的組織起來，而也增加來自於顧客關愛公司安全宗旨的「眼神」，不過，這些事情絲毫沒有弱化公司專注於減輕安全風險等問題。

「我們一直有來自於顧客詢問安全方面的問卷調查，而現在我們有多達50頁清楚明確的問卷資訊需要整理成內部文件，其實，這也就是去查核我們目前為安全作了什麼？或者更能了解對方需要我們來為安全作那些事？」Sarama說。

透過與稽查及制訂法規團體的會議訪談，他們是支持這些問卷內容作法的，只不過還要更進一步地理出答覆的頭緒。「這算不上什麼安全負擔，但的確是需要額外的資源及費用。現行我們手邊就有許多的管控方法，所以，對管理階層來說，事情並非如他們想像的那樣嚴重，我們要做的是付一點額外的費用就可以解決掉這些問題。」Sarama接著說，「這也是企業的一環，整件事就是將法規遵循和安全管控，與企業的政策達到同步的階段。」

並非所有企業都會注意到這一點，部份公司因為法規的關係，而掉入到只注重管理法規的迷思和陷阱裡頭，Brody說。

「在許多方面，法規遵循更像是一把利鑽，大部份法條都是強調文件產出和安全控管要符合規範，但鮮少會注重將科技融入現有環境，使整體企業更加安全。」Brody說。他認為利用科技所進行的控制，相較於組織政策和操作管控更不容易出錯，原因在於後者有人為因素牽涉在內的緣故。

「重要的一點就是，安全管理師不能讓企業模糊了最終目標的視線。」

「我們所企盼的就是建造一個安全的環境，而在面對法規遵循這部份，還有很長的路要走。」Freese接著說，「各位參與制訂安全環境的人，更應該無時無刻地思考上述這些問題，並讓企業也專注在這些項目身上。」

George V. Hulme為科技及商業新聞工作者，跨入IT安全領域已有超過10年的時間。