資安危機連環爆 總是船過水無痕?
分享留言列印
A-A+
2017-03-28 03:06聯合報 黃信智/科技服務公司負責人(台南市)


近年來資安議題及問題逐漸在媒體上大量曝光,國內在過去不到一年內,就經歷了銀行ATM被盜領超過八千萬元、證券業被DDoS攻擊及勒索、外交部領務局遭駭、學校印表機被勒索攻擊等事件,然整體風氣總是船過水無痕,相同問題從未得到妥善處理,其中一大因素便是人力及資源之分配。

以某銀行ATM被盜領一案為例,該銀行於事發後曾宣稱已取得相關國際標準規範驗證通過之證明,然大部分資訊安全人力編制仍屬任務性編制,而非常務性編制,故分工難以精細而導致資安層次無法提升、事發之後權責難以界定等問題。綜觀國內大部分政府機關已取得資訊安全管理制度之國際標準驗證、或陸續取得持續有效之證書,但事實是,這些組織內部所設之資訊安全團隊乃任務性編組,意味著同仁們仍以日常例行性業務為優先,而資訊安全業務往往不受重視,甚至被忽略。

再者,電腦犯罪事發後,警方及檢方辦案往往需藉由數位鑑識取證,然數位鑑識在國內仍屬小眾市場,被分配到的資源也相對稀缺。以澳洲稅務局為例,該局之數位鑑識團隊成立於一九九九年,現階段專責人員約卅位,隸屬於該局資訊科技安全部門,主要職責乃維護該局數位資料之資訊安全;且該團隊於澳洲其他城市亦設有數位鑑識實驗室,並配備相關蒐證及鑑識分析設備,該團隊曾經服務對象包括該局等卅餘個政府單位。

反觀我國,財政部財政資訊中心於二○一六年十月成立資安健檢及數位鑑識小組,成員共十七位,其中僅一位專責人員,除該中心成員外,亦包含其他政府機關及銀行成員。立意雖好,然就組織編制而言,遇有狀況,應是相形見絀且無能為力。

筆者與民間企業經營者交流,深感國內資安意識隱憂之巨大。以第一代經營者而言,白手起家,歷經電腦化、網路化時代,「紙筆訂單就有營收和利潤,何必談資訊安全」這樣的觀念深植人心。以身處資訊化時代的第二代經營者而言,往往又受到上一代經營者的牽制而無法大刀闊斧。再者,若公司營運未能持續成長,則嚴重負面影響公司對於資訊部門人力編制及資源分配,將演變為惡性循環。此現象雖非全部企業皆然,但已是台灣中小企業普遍現象。

孫子兵法有云,勿恃敵之不來,恃吾有而以待之。按資訊基本法草案及資通安全管理法草案,已針對公務機關資安管理之資源分配有相關規範,然對於立法實施後之運作成效,仍待上下一心於以貫徹,否則將再度淪為雷聲大而雨點小之局面。

資安﹒澳洲﹒盜領
延伸閱讀
arrow
arrow
    全站熱搜

    Andk 發表在 痞客邦 留言(0) 人氣()