https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

學習延伸思考問題的所在,是關鍵

2017 / 09 / 12
編輯部
學習延伸思考問題的所在,是關鍵
年輕的朋友想投入資訊安全這個行業,希望能來聽聽前輩的意見。

「你怎麼會希望投入到這個領域?」
「就覺得很酷啊,可以防駭客,感覺就像是打怪一樣。」
「還有呢?」
「應該待遇會很好吧!」

聽到這樣的答案,心中真的百感交集。翻開十年前的舊講義,那時候就在談社交工程,談如何不要隨意打開郵件中的附加檔案,不要直接點選信件中的連結。十年後的在寫新的講義,還是在說社交工程,談的還是惡意程式入侵的手法,只是現在談的是智慧型手機,還有多了許多案例。這十年資訊環境真的都沒有改變嗎?看看捷運上每個人都在當低頭族就可以知道答案,但這些我們認為基本的概念,似乎很少有人在講,是大家都已經知道了,還是我們不經意的忽略它。

企業裡情況會好些嗎? 如果問十個高階經營管理者,大概至少八、九位都會告訴你,在這個資訊爆炸的時代,資訊安全很重要,我們單位非常重視資訊安全。但實際的情形呢? 原來只要寫一套的程式,現在卻要寫網路版、手機版,甚至不同的作業平台還有不同的版本,但是對不起,經濟不景氣,所以投入的資源是和過去一樣的,在成本的考量下,只有不斷的將程式開發外包,等到要上線了,積極的再做個源碼檢測,接下來就開始進入程式修改、增加新功能的循環中。直到第二年又執行一次源碼檢測,同樣錯誤的撰寫方式還是一再的重複發生,只是把源碼檢測當作是上線前的一個必經程序而已,卻沒有想過如何避免同樣的問題一再發生。

不只是軟體開發面對這樣的窘境,作業系統更新也是碰到相同的議題。去年國內某間銀行發生提款機自動吐鈔的案例,一時之間使用已經暫停服務的作業系統成為眾人指責的焦點,主管機關也勒令同業進行系統的更新。有些單位因為預算的考量,拖到今年才列為專案項目,反正在期限之內完成就好了,但是也是換到一個很快就要暫停服務的作業系統。請問有沒有一些其他的補強措施或是控管方式,甚至有沒有一些長遠的規劃,很多時候就會笑笑的回答你,我們就靜觀其變,看事情如何發展。只是這種船到橋頭自然直的心態,真的是我們面對資訊安全所應該採取的態度嗎?

很多新興的名詞,大數據、雲端科技、工業4.0….,一下子成為大眾朗朗上口的名詞,但是在這個背後,很多應有的基礎工作是否有落實執行。不要覺得好笑,有些對行動儲存設備有管制的單位,表面上號稱都要事先申請才可以使用,但卻將可以使用的個人電腦開放在公共區的電腦,為的只是因為可能也許多人會使用這些行動設備,那請問一下,這樣的做法和全面開放使用有什麼差別?

我們還是需要很多資安新血的人員投入,只是身處於現在的環境,身為資安工作者的我們除了默默傻傻的做再做之外,或許我們應該還要再多進一步思考可以該再多做些什麼? 讓企業與讓自身都是持續成長與變化的更好,而不是停留原地打轉。