學習延伸思考問題的所在，是關鍵

2017 / 09 / 12

編輯部

年輕的朋友想投入資訊安全這個行業，希望能來聽聽前輩的意見。

「你怎麼會希望投入到這個領域?」
「就覺得很酷啊，可以防駭客，感覺就像是打怪一樣。」
「還有呢?」
「應該待遇會很好吧!」

聽到這樣的答案，心中真的百感交集。翻開十年前的舊講義，那時候就在談社交工程，談如何不要隨意打開郵件中的附加檔案，不要直接點選信件中的連結。十年後的在寫新的講義，還是在說社交工程，談的還是惡意程式入侵的手法，只是現在談的是智慧型手機，還有多了許多案例。這十年資訊環境真的都沒有改變嗎?看看捷運上每個人都在當低頭族就可以知道答案，但這些我們認為基本的概念，似乎很少有人在講，是大家都已經知道了，還是我們不經意的忽略它。

企業裡情況會好些嗎? 如果問十個高階經營管理者，大概至少八、九位都會告訴你，在這個資訊爆炸的時代，資訊安全很重要，我們單位非常重視資訊安全。但實際的情形呢? 原來只要寫一套的程式，現在卻要寫網路版、手機版，甚至不同的作業平台還有不同的版本，但是對不起，經濟不景氣，所以投入的資源是和過去一樣的，在成本的考量下，只有不斷的將程式開發外包，等到要上線了，積極的再做個源碼檢測，接下來就開始進入程式修改、增加新功能的循環中。直到第二年又執行一次源碼檢測，同樣錯誤的撰寫方式還是一再的重複發生，只是把源碼檢測當作是上線前的一個必經程序而已，卻沒有想過如何避免同樣的問題一再發生。

不只是軟體開發面對這樣的窘境，作業系統更新也是碰到相同的議題。去年國內某間銀行發生提款機自動吐鈔的案例，一時之間使用已經暫停服務的作業系統成為眾人指責的焦點，主管機關也勒令同業進行系統的更新。有些單位因為預算的考量，拖到今年才列為專案項目，反正在期限之內完成就好了，但是也是換到一個很快就要暫停服務的作業系統。請問有沒有一些其他的補強措施或是控管方式，甚至有沒有一些長遠的規劃，很多時候就會笑笑的回答你，我們就靜觀其變，看事情如何發展。只是這種船到橋頭自然直的心態，真的是我們面對資訊安全所應該採取的態度嗎?

很多新興的名詞，大數據、雲端科技、工業4.0….，一下子成為大眾朗朗上口的名詞，但是在這個背後，很多應有的基礎工作是否有落實執行。不要覺得好笑，有些對行動儲存設備有管制的單位，表面上號稱都要事先申請才可以使用，但卻將可以使用的個人電腦開放在公共區的電腦，為的只是因為可能也許多人會使用這些行動設備，那請問一下，這樣的做法和全面開放使用有什麼差別?

我們還是需要很多資安新血的人員投入，只是身處於現在的環境，身為資安工作者的我們除了默默傻傻的做再做之外，或許我們應該還要再多進一步思考可以該再多做些什麼? 讓企業與讓自身都是持續成長與變化的更好，而不是停留原地打轉。

資訊安全