【Yahoo論壇／陳清河】從資訊安全看另一種現代生活的規律

作者為世新大學副校長

前言

本月4日，台積電生產線因為安裝軟體過程釀災，再加上新機連線問題，導致病毒擴散的資安事件，這則新聞再次引發資安防護的討論。

隨著智慧家庭與智慧社會的推展，在社群網路、行動機具、物聯網與人類生活情境愈加緊密的同時，最常受關注的議題，就是網路上的惡意活動愈來愈頻繁，運用社群刻意製造訛傳的案例與動機也日趨複雜。

應用程式的科技逆襲

從軟體應用程式的技術分析，當人類的生活需求愈多，工具依賴度愈高，所謂的駭客可利用的漏洞也更多，人類必須付出隱私的風險愈大。這種種現象，確是值得個人、機構、企業，甚或國家體制皆應視為不可掉以輕心的事。

2008年7月 App Store 上線後，不僅為該公司的應用程式和遊戲開發，開拓了多年的市場佔有率，更引發程式設計與應用的革命。不可逆的趨勢是，應用程式介面（Application Programming Interface）的開發成為兵家必爭之地，從固定網路PC到移動面板與智慧型手機，為了實現查詢行事曆、天氣、導航、網購、遊戲、地圖、拍照，乃至耳熟能詳的APP store與社群分享都已極度仰賴。

但是，為了商業服務的需求，這些程式對於個資取得成為必要之惡，自然形成資訊生活機會與風險的兩面刃。資訊安全防護，包括防毒軟體及偵測入侵系統皆須強化；因此，變更密碼、定期更新、提高警覺，以及採取網路弱點掃描探測，皆屬資安防護的必要機制。

應用程式的設計常遊走在法律邊緣

蘋果聯合創始人賈伯斯曾說過「過去手機的差異在於無線電和天線之類的硬體，但是未來手機的區別在於軟體」。可以理解，除了延伸原本的網路服務之外，應用程式還可以在網路涵蓋範圍內，不斷提供生活中的創新服務，包括雲端存取、轉帳服務、行動定位、行動瀏覽、行動健康監測、行動付費、近距離無線網路傳輸、行動廣告、行動即時通訊，以及行動影音服務等，已經深度融入人類的生活。

隨著駭客技術和攻擊手法的與時俱進，近兩年推出的人工智慧學習與區塊鏈，皆將成為駭客攻擊的主要目標。目前，有諸多違反用戶隱私保護規定的應用程式設計，或者是業者單向強制且不公平的協議，就經常遊走在法律規範的邊緣。許多 APP或勒索軟體就是如此，勒索軟體又名阻斷存取式攻擊（denial-of-access attack），最初是加密重要檔案，但經常也會系統性地讓檔案無法解密使用。

足以顯見，應用程式的設計可以透過平台與加值，提供更多不同以往的路徑與運用，完全改變對於資訊的處理方式；但是，人類在接受如此多元且便利的服務內容時，其實是已經付出犧牲自我隱私與安全的代價。本月17日，正好有機會聆聽臺灣BSI蒲樹盛總經理演講時便提及，法國個資主管機關CNIL於今年五月控訴Google蒐集個資時，就認為該公司不夠尊重當事人權利的論述，即是凸顯此一不公平協議的問題。

風險管理與危機處理的思維

如前所述，面對新的資安威脅，消費者應定期轉換智慧裝置或路由器密碼的習慣日益重要，更須提高對外來郵件與造訪網站的防範機制，以避免受到惡意程式的陷阱。

從風險管理與危機處理的思維，資安是一個有準備的秩序也是風險與危機的制衡遊戲；只是當事件發生時， 因為其不確定性、時間緊迫性、突發性以及威脅性，礙於時間壓力，常會影響組織做出適當的處理與指標的準則。對企業或機構的管理而言，就應採取更高且多層次的資安防禦，從端點到網路層都設立防護機制，並整合即時掃描、行為分析、機器學習與資產分類等，確認能夠即時偵測這些非善意的程式。

終究，資安問題大多是來自人為因素，無論是一般的病毒或是惡意程式，都是有心人士所設計出來。因此，每當系統一旦被發現漏洞，防止病毒程式的關鍵，仍應回歸對人機協作的風險管理。

結語

資安議題相關的指標甚為繁雜，包含事件、未遂事件、資料主體權利行使要求、隱私風險監管與隱私衝擊評鑑的結果等面向。具體建議是，必須經常確認蒐集資料的適量性，以及盤點資料與資料流程中的內容；檢討是否真的需要這些資料、如何取得這些資料以及是否使用得當等問題，都應有每人都是守門員的概念，經常進行社群工程演練將成常態。

更多Yahoo論壇文章

●台灣爭慰安婦人權 日本人助攻了
●大陸求職：這裡不是我的家、我只是個打工仔
●台商在中的護身符：「一中牌」失靈了？
●台灣民眾「居住證」究竟是糖衣還是毒藥？
●真正的朋友不是和你一起享福，而是不離不棄！

＿＿＿＿＿＿＿＿＿＿＿＿＿＿
【Yahoo論壇】係Yahoo奇摩提供給網友、專家的意見交流平台，本文章內容僅反映作者個人意見，不代表Yahoo奇摩立場。有話想說？不吐不快！>>> 快投稿Yahoo論壇