2大策略提升用戶端資安意識

2016 / 08 / 03

熊掌櫃

上篇，強化資安第一箭 - 提升用戶端資安意識。提及隱形的資訊風險距離一般用戶端的認知更加遙遠。下篇將會討論企業如何提升用戶端資安意識。

企業內部用戶端缺乏資安意識阻礙資訊安全推動
不論何種規模的企業機構，資訊部門人員相對來說都是少數，絕大部分的員工包括管理階層都是資訊系統的用戶端，這些用戶端缺乏資訊安全認知，對於資訊安全的推動將直接產生以下影響：

1. 資訊安全管理系統是建立一個資訊安全推動及管理機制，其中，例如: A.9.4.3 Password Management System 的控制措施要求有安全的密碼原則，在應用系統設計實務上會要求密碼設定須符合複雜性原則。資訊人員了解，密碼複雜化是為了降低密碼被暴力破解的機率，避免系統被未經授權存取，外在的表徵(資安事件) 是資料不正確(被竄改) 或資料外洩。但這樣的設計直接影響的是使用者操作的不便，一般用戶端無法瞭解這樣的控制措施與哪一個資安問題(資料外洩、竄改) 有關，當資訊人員提出管理辦法或資安技術解決方案時，由於管理階層缺乏資安的認知，他無法連結解決方案與需要被解決問題之間的關聯，將造成在推動資訊安全管理時的阻力。

2. 資訊安全管理系統中，資訊資產擁有者(Asset Owner)對於管理體系運作有著重要的影響，例如風險接受，營運衝擊分析，而這些資產擁有者理當是由該資產主要的用戶端擔任，在對於資安認知缺乏的請況下如何做出合適的判斷及決策？

3. 要安全卻也想要方便。資訊系統設計考量資訊安全需求，增加資訊安全功能設計，將對於系統之存取產生不便或可能影響作業效能，通常用戶端因為無法完全理解資訊安全所可能的影響，因此對於安全功能多是站在對立的立場，此外更直接影響的，在進行系統需求訪談及議定系統交付日期時，通常用戶端不會提出資訊安全功能需求，多半認為是資訊人員的責任，常產生交付日期不合理的情形。此外在系統開發的測試活動，用戶端多半不會主動規劃資訊安全功能之測試並配合執行測試活動，除非該安全功能，就他業務上有直接法令相關之要求。

4. 使用資訊服務、設施因為缺乏資訊安全認知而導致資訊安全事故。許多公司會開發行動裝置的資訊服務，例如建議書系統、客戶管理系統，甚至提供公司的設備給業務或行政人員使用。在缺乏資安認知的情況下，例如設定自動連接公共空間的無線WiFi熱點，對使用者而言，，他並不清楚所連線的熱點由誰提供，當然也不容易注意使用這些熱點的風險，或對於其使用設備的安全性。

5. 商業需求永遠大於安全需求。用戶端缺乏資安認知，因此在考量資訊系統之功能需求時，商業目的會優先於安全需求，而因為安全功能的欠缺，當發生資安事故時，用戶端並不會認為這與他先前否決的安全功能設計有因果關係，而認為是資訊人員作業疏失或是程式開發人員的責任，這一點是許多應用系統開發人員難言之痛。

上述5點影響，只是眾多問題中的幾個，經年累月的結果，容易造成資安人員對於資安議題形成一個「習得無助感(Learned Helplessness)」的心理狀態，「習得無助感(Learned Helplessness)」理論是由賓州大學心理系教授馬汀.賽利格曼（Martin Seligman）所提出，當人們有了無助感後，對人生的看法會改變，不會有動力繼續努力，認為無論如何，都無法左右或改變現況。人們的潛意識在說「何必呢？反正怎麼樣都沒差。」到最後就算解脫的機會近在眼前，也提不起精神採取行動了。

而這「習得無助感(Learned Helplessness)」的心理狀態，會不會說明了目前資安人員在推動資安管理的一個障礙？關於這議題將來筆者再發表觀點。回歸主題探討如何提升用戶端資安意識。

2大策略提升用戶端資安意識
過去對於組織內部的用戶端之資訊安全教育訓練，很多是一套到底，不會有太多改變，對於有取得ISO管理體系認證的組織，教育訓練是必要的，但教材多偏向ISO 條文或是辦法規章的說明，內容較難以跟實際情況有所連結，就如本文前面提到，許多使用者對於控制措施條文與實際的做法不是很清楚其關聯，因此課程就會流於形式，效果有限。

過去在教育訓練教材上，多會蒐集或引用一些外部案例，相對於條文理論的說明，比較容易引起學員的興趣，效果也比較好，但即便如此，這些多半是”他山之石”，沒有與學員本身有切身關係，時間一久就容易忽略。因此要確保用戶端將資訊安全根植在他的觀念，建議採取以下策略：

1.從使用者擁有的個人資訊產品，或公司組織所賦予使用的資訊系統著手
彙整相關資訊產品例如智慧型手機，以使用者可以理解的語言，描述他可能使用的情境，例如下載APP、開放個人Wi-Fi熱點、連接公眾 Wi-Fi 熱點、使用社群軟體等，描述他可能已有的安全威脅，以及如何趨吉避凶。當然如果以實際發生之案例，或請專家展示利用這些設備的安全性漏洞而侵害資安的實驗，更加強其對於資安的認知。

2.借鏡食安事件，建立資訊產品安全風險資料庫
台灣近幾年，毒澱粉、台灣米混充越南米、頂新飼料油，幾乎年年都有食安問題，搞的民眾人心惶惶，然而經由這些慘痛的經驗，透過強制標示、禁止使用特定添加成分、或要求食品生產廠商及賣場建立自主檢驗管理等機制，確保食品安全，及媒體不斷的宣導，民眾漸漸對於吃下肚的東西開始關注，在購買食物時會對於其成分、產地等資訊多加關注，這些都是正面的發展，關鍵重點在於民眾為了自己身體健康、關注食品添加物、要求提供產品成分資訊，以及建立食品添加物的相關資訊，這種趨勢甚至包括藥品資訊、相關副作用(用藥風險)等，透過一般人可理解的資訊幫助民眾確保個人食品、用藥安全。對於提升用戶端資安的認知，筆者認為可以加以借鏡，就是建立資訊產品安全風險資料庫。

這一點筆者還沒有完整實作過，僅針對部分產品，例如隨身碟。但筆者認為應該可行，就如同藥品安全資料庫，有些醫院會提供藥品查詢資料庫，甚至在藥袋上都會標示相關藥品可能的副作用及使用風險，對於各項資訊產品，難道不能比照辦理？去各資訊產品的原廠網站，他當然不會跟你說明產品安全資訊。因此若透過公正第三方建立此資料庫，相信可以提供用戶端消費者查詢並提升安全意識，但因為牽涉資訊客觀或是公正與否的問題，一般組織內欲建立此資訊，可以針對產品類型，而非廠牌。

目前國內對於食品之標示，已經有一些配套措施，例如要求一定規模食品廠商、賣場建立自我原料檢查機制。而對資訊產品，對於除了對於電磁波、輻射等有商品檢驗外，似乎還沒有對於資訊產品的安全有一個客觀公正的機構進行認證，如果未來對於資訊產品的安全性有一個類似要藥品資料庫，相信可以多一個管道，讓民眾主動去了解資訊產品的安全，建立資訊安全認知。當他對於資訊產品安全保持一定的關注，回歸到公司組處理資訊系統安全管控問題時，才能有一個較為對等基礎與資訊或資安人員討論，建立一個良性循環。