觀點

強化資安第一箭 提升用戶端資安意識

2016 / 08 / 01
熊掌櫃
強化資安第一箭 提升用戶端資安意識

當資訊安全成為一個議題開始,四面八方管道例如,刊物、網站等等提供源源不斷資訊安全的相關資訊,訴求對象主要是資訊技術人員或資安人員,期待建立並強化資安軟實力,因為這些人負責管理公司組織的資訊資產,懂技術、瞭解資安所可能帶來的風險,建立並強化資安認知由資訊相關人員開始,似乎合情合理。 

而技術解決方案方面,國內廠商也致力於研發或引進資安產品,透過技術解決方案建構資訊安全防護的硬實力。廠商在推廣這些資安產品,因為涉及投資,所以對象可能是負責資訊的決策主管,但也還是以資訊相關人員為主。此外政府法令及相關配套措施,例如要求金融保險業導入資訊安全管理系統(ISMS)及個資管理系統(PIMS),頒佈「壽險業辦理電腦系統資訊安全安全評估作業原則」,再搭配金融檢查來確保這些法令及配套措施落實執行。

由上看來不論是官方或是民間,不論是資安軟實力、技術解決方案、政府法令等似乎是全方位的建構資訊安全環境。看來似乎毫無破綻,但,還有什麼可以補強的?

隱形的資訊風險距離一般用戶端的認知更加遙遠
即使ATM提款金額已經設限,非約定帳戶轉帳也設了重重限制,但是每天還是有民眾遭到詐騙而損失財物。電視購物平台客戶資料外洩,購物頻道照樣每天開賣,民眾照樣買。手指的滑動,就可以在手機上完成購物、銀行轉帳、甚至利用手機付款,詐騙電話上門,多少與這使用這些資訊服務,有著一定程度的因果關係,如果不是你剛好在線上購物完成一筆交易,詐騙集團怎麼能利用這資訊找上你進行詐騙?一般使用者恐怕在滑手機不會想到這問題,前述這些問題,是民眾不知道風險,還是根本不在乎? 

ATM提款卡看得到,一般人都知道要好好保管,因此詐騙集團不容易偷到,就算偷到,還得知道密碼,因此改用騙的,你看不到電話另一端的詐騙集團份子,他利用人性弱點及包裝完美的故事,不需要知道提款卡密碼,騙你上鉤,讓你雙手奉上。
資訊科技發展,消除了一般人存取資訊設備的障礙,加上科技逐漸成為一項競爭力,改變商業遊戲規則,例如金融科技,金融業若不追上這股潮流趨勢,就可能被淘汰出局,但是越是複雜的科技,越是需要”包裝”及”簡化”才能讓一般使用者上手,你無法用密密麻麻的使用條款、資訊安全政策、隱私權聲明等,期待讓使用者知道他所使用的資訊服務存在什麼風險,說實在的,這些都只是企業組織”規避責任”的措施,出問題時,你可能不知道你已經按了”接受”並同意相關條文。

雖然從事資訊安全相關工作,但科技發展之迅速,從手機、穿戴裝置到行動支付等等,也不禁開始遲疑,使用這些產品有沒有問題?有沒有哪些風險? Google 能給我答案嗎?

消費者資安認知促使廠商推動資訊安全
筆者曾在國內一家資訊產品廠商擔任資安管理工作,公司產品行銷各國,在各個國家都有客戶及消費者,因此在許多國家設有當地客服及維修服務中心,而因應電子商務趨勢,這家跨國企業當然也提供線上購物、經營網路會員、社群等增加產品推廣行銷的管道。 
在這段工作經歷中,因為參與個資法令遵循專案工作,有機會協助處理來自國外使用者行使其個人隱私權益的要求,例如刪除廣告信、疑似個資外洩事故的客訴案件。由於這些案件大多數來自海外的用戶端,而這些用戶端之所以樂於提出行使隱私權益、或個資相關客訴,除了是該國法律賦予他的權益,以及透過集體訴訟方式更有利於維護其隱私權益並取得利益外,關鍵點在於當事人對於法令的暸解及對個人隱私的重視。

此外有部分案件來自對於資安有相當程度了解之用戶端,有些純粹為維護其個人隱私權益,進而向公司提出客訴,但也有些人表面上是主張其個人隱私權益,但實際上是他利用自身資訊專業技術,透過一些駭客社群網站所公布的資訊發現公司網站存在資安問題,加以利用意圖牟取不當利益。 面對這些議題,使得公司不得不採取一些措施降低這些事件對於公司的影響,包括建立強大法務部門處理這些案件,增加網站安全漏洞檢核機制及強化應用程式測試作業,同時也迫使公司不得不將原本分散在各單位的會員資料集中控管。諷刺的是前述與資安相關的管控措施,在事件發生前是為推動個資/資安管理工作所提出而被否決的建議,這段經驗給筆者一個非常重要的訊息:用戶端資訊安全意識或個人隱私意識抬頭,對於企業組織強化資訊安全產生直接的壓力。

下集:強化資安第二箭 解決組織「習得無助感」負面思維

熊掌櫃資安觀
資安就像烹飪,不斷嘗試才能端出色香味俱全、客人滿意、信任又安心的菜餚。熊掌櫃上菜囉。