https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

Note7給的資安啟示

2016 / 11 / 01
侍家驊
Note7給的資安啟示

Note 7上市初期從全面看好,到被迫宣布停產,眼睜睜看著市場被瓜分搶食,還必須冷靜處理退貨的複雜程序,同時小心呵護得來不易的品牌用戶。

論設計與功能,評論者多報以好評。就戰術來看,搶在iPhone 7前亮相,著實壓制iPhone 7的鋒芒。誰知因電池衍伸爆炸燃燒的安全問題,用戶不滿、航空公司禁上機,滾雪球般不可收拾。功能、品管、上市時間,三者的衝突造成大禍。

突發的安全議題讓事件的處理一樣難堪,無法確定問題根源、又必須盡快面對市場質疑,先是召回問題手機、接著決定全面停產,損失持續擴大,到現在還未止血,更慘的是出事原因還未確認。

這樣的情節神似國內資安處境,大多數組織開發各種應用時,功能、時程擺第一,資安人員根本無緣參與。更糟的是,大多數單位沒有專職資安人員,根本不可能在第一時間將資安議題上檯面。

在這個實體往虛擬快速移動的現在,新科技、新應用瞬息萬變,任何企業面對競爭,更是無法想清楚再行動,通常必須邊走邊改,以掌握先機。安全問題該如何面對?

1. 我們還是再大聲的提醒,成立專職資安部門、拉高資安人員的位階,讓安全問題在新業務、新系統、新應用的初始階段,就有專職人員提出該有的思考與規劃。
2. 善用專業顧問,新領域一定有未知風險,藉由專家的協助,從結構上遠離風險。
3. 安全的精神應該是防患於未然。事件後的處置方向清楚,資源也容易集中,反之,事前的防範,必須檢視每一個可能的風險,規劃防範的機制,耐心做繁複的溝通協調,通常還要爭取高階主管的全力支持。

要做到當然不容易,特別是台灣普遍的Cost down文化、投機氣氛(我不會這麼倒楣)、表面文化(應付主管機關的要求)。國內有幸,還有許多的資安從業人員充滿著熱血,讓我們大家持續再努力,只要灑下種子,就有希望發出明天的綠芽。