【Yahoo論壇/陳清河】從資訊安全看另一種現代生活的規律

世新大學副校長
職場精力湯

作者為世新大學副校長

圖片來源:iStockphoto
圖片來源:iStockphoto

前言

本月4日,台積電生產線因為安裝軟體過程釀災,再加上新機連線問題,導致病毒擴散的資安事件,這則新聞再次引發資安防護的討論。

隨著智慧家庭與智慧社會的推展,在社群網路、行動機具、物聯網與人類生活情境愈加緊密的同時,最常受關注的議題,就是網路上的惡意活動愈來愈頻繁,運用社群刻意製造訛傳的案例與動機也日趨複雜。

應用程式的科技逆襲

從軟體應用程式的技術分析,當人類的生活需求愈多,工具依賴度愈高,所謂的駭客可利用的漏洞也更多,人類必須付出隱私的風險愈大。這種種現象,確是值得個人、機構、企業,甚或國家體制皆應視為不可掉以輕心的事。

2008年7月 App Store 上線後,不僅為該公司的應用程式和遊戲開發,開拓了多年的市場佔有率,更引發程式設計與應用的革命。不可逆的趨勢是,應用程式介面(Application Programming Interface)的開發成為兵家必爭之地,從固定網路PC到移動面板與智慧型手機,為了實現查詢行事曆、天氣、導航、網購、遊戲、地圖、拍照,乃至耳熟能詳的APP store與社群分享都已極度仰賴。

但是,為了商業服務的需求,這些程式對於個資取得成為必要之惡,自然形成資訊生活機會與風險的兩面刃。資訊安全防護,包括防毒軟體及偵測入侵系統皆須強化;因此,變更密碼、定期更新、提高警覺,以及採取網路弱點掃描探測,皆屬資安防護的必要機制。

應用程式的設計常遊走在法律邊緣

蘋果聯合創始人賈伯斯曾說過「過去手機的差異在於無線電和天線之類的硬體,但是未來手機的區別在於軟體」。可以理解,除了延伸原本的網路服務之外,應用程式還可以在網路涵蓋範圍內,不斷提供生活中的創新服務,包括雲端存取、轉帳服務、行動定位、行動瀏覽、行動健康監測、行動付費、近距離無線網路傳輸、行動廣告、行動即時通訊,以及行動影音服務等,已經深度融入人類的生活。

隨著駭客技術和攻擊手法的與時俱進,近兩年推出的人工智慧學習與區塊鏈,皆將成為駭客攻擊的主要目標。目前,有諸多違反用戶隱私保護規定的應用程式設計,或者是業者單向強制且不公平的協議,就經常遊走在法律規範的邊緣。許多 APP或勒索軟體就是如此,勒索軟體又名阻斷存取式攻擊(denial-of-access attack),最初是加密重要檔案,但經常也會系統性地讓檔案無法解密使用。

足以顯見,應用程式的設計可以透過平台與加值,提供更多不同以往的路徑與運用,完全改變對於資訊的處理方式;但是,人類在接受如此多元且便利的服務內容時,其實是已經付出犧牲自我隱私與安全的代價。本月17日,正好有機會聆聽臺灣BSI蒲樹盛總經理演講時便提及,法國個資主管機關CNIL於今年五月控訴Google蒐集個資時,就認為該公司不夠尊重當事人權利的論述,即是凸顯此一不公平協議的問題。

風險管理與危機處理的思維

如前所述,面對新的資安威脅,消費者應定期轉換智慧裝置或路由器密碼的習慣日益重要,更須提高對外來郵件與造訪網站的防範機制,以避免受到惡意程式的陷阱。

從風險管理與危機處理的思維,資安是一個有準備的秩序也是風險與危機的制衡遊戲;只是當事件發生時, 因為其不確定性、時間緊迫性、突發性以及威脅性,礙於時間壓力,常會影響組織做出適當的處理與指標的準則。對企業或機構的管理而言,就應採取更高且多層次的資安防禦,從端點到網路層都設立防護機制,並整合即時掃描、行為分析、機器學習與資產分類等,確認能夠即時偵測這些非善意的程式。

終究,資安問題大多是來自人為因素,無論是一般的病毒或是惡意程式,都是有心人士所設計出來。因此,每當系統一旦被發現漏洞,防止病毒程式的關鍵,仍應回歸對人機協作的風險管理。  

結語

資安議題相關的指標甚為繁雜,包含事件、未遂事件、資料主體權利行使要求、隱私風險監管與隱私衝擊評鑑的結果等面向。具體建議是,必須經常確認蒐集資料的適量性,以及盤點資料與資料流程中的內容;檢討是否真的需要這些資料、如何取得這些資料以及是否使用得當等問題,都應有每人都是守門員的概念,經常進行社群工程演練將成常態。

更多Yahoo論壇文章

台灣爭慰安婦人權 日本人助攻了
大陸求職:這裡不是我的家、我只是個打工仔
台商在中的護身符:「一中牌」失靈了?
台灣民眾「居住證」究竟是糖衣還是毒藥?
真正的朋友不是和你一起享福,而是不離不棄!

______________
【Yahoo論壇】係Yahoo奇摩提供給網友、專家的意見交流平台,本文章內容僅反映作者個人意見,不代表Yahoo奇摩立場。有話想說?不吐不快!>>> 快投稿Yahoo論壇

接下來要閱讀的內容