迎接2017面臨的資安威脅

2017 / 01 / 09

陳啟川

現今的社會已進入一個高度數位化、網路化的生活型態，但「沒有資訊安全，就沒有數位社會」，所以從國家、企業、個人都全體動員了，已經顯少人們不再正視資訊安全的問題。

不受控制的cyber attack成為潛在網路戰爭的基礎
從國家安全的高度來看，隨著2016美國大選結束，預料新任總統川普上台後將為2017的國際情勢增添更多的不確定因素，值得大家注意。單就兩岸情勢來說，近來對岸的軍機繞台，與其航母遼寧號突破第一島鍵，都顯示出目前兩岸正處在緊張的微妙狀態。勤業眾信風險諮詢公司總經理萬幼筠提到，根據一份英國的研究報告指出：「不受控制的cyber attack會成為潛在網路戰爭的基礎」。鍵盤柯南人人會做，但，鍵盤戰爭就不一樣了。對岸網軍對台發動的入侵攻擊早已不是新聞，但畢竟都還在「可控制」的範圍內；我們要小心的是，隨著兩岸甚至是中美關係的緊繃，是否會出現擦搶走火的失控情況，就是政府相單位需要謹慎預防的。

另外，像攸關人民生活如電廠、交通、網路等各項關鍵基礎設施的安全問題，也是政府需要加強防禦的對象。以往這類設施大多採用專屬特製的系統設備，意謂即使遭受攻擊，這些各自獨立的系統環境也難以造成大規模的損害。但在網路化的趨勢下，原本各自獨立的傳統設備開始漸漸改為自動化的控制，甚至要求能夠聯網以便遠端遙控，在提昇管理效率的同時又可減少維運人力，更符合商業效益，但代價就是給予駭客更多網路攻擊的機會。2015年12月底發生於烏克蘭電廠，由駭客攻擊所造成的大規模停電事件就是最好的例子，因此政府單位對各項關鍵基礎設施應做好適當的風險評估防範。
企業需更注重開發過程的安全問題
以企業來說，萬幼筠提醒，現今的駭客攻擊多走向有系統的組織犯罪型態。當組織分工愈嚴密就愈難事前預估，也就更難透過教育訓練等方式來遏止，而企業對這樣的攻擊「只能防到8成左右」，萬幼筠如此表示。因此企業除了部署各項防禦措施外，也要開始建立事後的補救方案，像是事件回應與災難回復等機制。

另外，物聯網在帶來重大商機的同時，相對潛藏的資安威脅更是不容忽視。發生在2016年10月底的一次大規模的DDoS攻擊事件，就是由一隻名為Mirai，針對物聯網裝置攻擊的殭屍病毒所造成。而負責生產此次遭攻擊的網路攝影機、監視器機板的中國廠商雄邁也因此召回這些在美銷售內含安全漏洞的產品，並提供韌體升級的服務，以解決允許遠端存取telnet而遭到攻擊的問題。

萬幼筠認為企業在進行產品開發時，要將安全素養加入。他提醒尤其不少工程人員喜歡用open source來進行開發，有時更直接到GitHub這類開源社群取得源碼後就進行修改編譯，或像台灣不少大型系統開發廠商都有工作外包給中國人員開發的習慣。像這些利用開放源碼或在中國設計開發的產品和系統，其實都可能存在安全危機，所以企業在降低成本追逐商業利益外，也需做好相對的風險評估，否則一旦發生類似雄邁產品遭駭客利用的事件，對企業的損失與商譽的傷害將難以估計。

迎接新年，數位生活也要「斷、捨、離」
迎接新年到來，不少人會對家裡或辦公室環境除舊佈新一番，但你可知道除了居家環境外，數位生活也要「斷、捨、離」。現在智慧手機已不再是年輕人的專利，不少銀髮族因為現在行動裝置大螢幕、觸控操作的特性，也紛紛加入低頭族的行列，但其實這些行動裝置內往往承載許多個人重要機密資訊，而更需要注意防護。

即使你個人認為這些數位資訊被公開不會有太大影響，但別忘了現在有太多便利的App已走入我們的實際生活當中。像是讓民眾能以App點餐，提供餐點外送服務的UberEATS，近日就發生一起通告藝人透過UberEATS訂餐，沒想到該藝人的住址卻被外送人員直接公布在近500人的Line群組當中，讓Uber的爭議再添一椿，所以我們在享受數位生活帶來便利的同時，也要了解其所可能引發的危機。因此迎接新年到來的同時，何不重新檢查自己的電腦手機，讓自己的數位生活也來次「斷、捨、離」。

祝大家新年平安。