Yahoo奇摩新聞 【Yahoo論壇/林穎佑】資安是一個過程而非產品
作者為國立中正大學戰略暨國際事務研究所兼任助理教授
2019年1月14日我國工研院宣布從15日開始,使用特定廠牌手機將無法使用院內的無線內部網路,而資策會也在資訊安全的疑慮之下跟上腳步,全面禁止使用特定廠商的相關設備使用內網。
事實上早在2011年左右,美國國會就開始質疑其產品是否會威脅美國國家安全,之後許多智庫與資安研究社群也開始針對其產品(除了手機之外包含路由器、安全監控設備以及其他資訊產品)進行研究,其都有回傳資料的可能。但需注意的是在資訊時代所使用的產品基本上都很難避開類似的作為,特別是除了硬體之外,許多使用者可能會篩選特別的廠牌,但在APP上卻未作到防範。隨著智慧手機的進步,手機上的惡意程式數量也如雨後春筍般的出現,許多都與APP聯結,在拍照修圖或是玩遊戲的同時,都在暗中收集各種私人資訊發送到有心人士的手中,其中可能包括了用戶所在位置,訊息對話,用戶通話記錄與剪貼選項,在之前也有出現過將挖礦軟體植入APP的狀況,代表黑帽駭客可能正在利用手機的電力與網路在賺錢。
事實上天下沒有白吃的午餐,許多網路服務其實都有收集資料的可能,許多免費的地圖服務、社交平台、或是遊戲中都有可能暗藏風險,要求使用者授權開起麥克風與鏡頭的權限。因此適時的檢視使用者和分享內容、互動對象以及在使用網路服務時的選項都需要注意點選,致於回傳的資料是提供原廠作為改進,還是作為有心人士換取利益的生財工具,或是提供給具有敵意的他國作為日後攻擊的跳板,都是有可能的選項。
雖然自由、便利、安全是彼此拉鋸的,端看使用者如何選擇,但大多數的使用者都不了解上述的概念,甚至在組織中經常出現將無知視為無所不知的危險狀況,這都代表資安意識的缺乏。特別是在數位時代的輿論戰場中,個人資料都會成為大數據分析的一環,有敵意的國家藉由硬體與軟體收集某國大量的個資樣本後,便可了解族群的分佈與特性,針對目標族群設計量身打造的不實訊息,藉此發動數位與論戰來達到分化對手或是激起內部的對立。此種新作戰模式也可算是資安威脅的衍生。
資訊安全絕對不是單純杜絕特別品牌產品就可以作到,還需要法規與政策的配合,特別是在人這個環節。如許多科技產業早就禁止員工在部分區域使用手機,但是依然不時有機密外洩、或是遭到惡意程式入侵停擺運作的資安事件發生,可見單純限制手機不會解決問題,最根本的還是與單位與員工對資安的認識有關。
如果組織上下依然認為買了何種設備或軟體、或是禁止特殊裝備的使用,但對於整體資安的認識依然有限,這只是治標而不是治本。技術雖然提供了新的情報竊取方式,但人性的弱點往往才是最容易突破的環節,社交工程利用的就是人的信任來達到欺騙的目的。因此除了軟硬體之外,如何強化資安意識,便成當務之急,也如同資安專家Bruce Schneier所言:資安是一個過程,不是一個產品。
更多論壇文章
73%的當選率!為何得網路者得天下?
台鐵奇蹟:每上班三天,就有兩天在開會!
四十八天的重整旗鼓
想想西藏、香港 更別談新疆了
沒有貼說狗不能進來,你們就直接進來啊!
______________
【Yahoo論壇】係網友、專家的意見交流平台,文章僅反映作者意見,不代表Yahoo奇摩立場 >>> 投稿去
