商周

啟動成功關鍵,隨時掌握商周.com最新資訊

提供第一手新聞解析、財經趨勢、專屬活動

已加入收藏
已取消收藏
帳號頭像 帳號選單下拉箭頭
/
熱搜內容

youbike

共有 81 則相關文章

何佩珊 | 2023.05.25

從各大知名企業用戶個資外洩事件頻傳,到近期財政部電子發票整合服務平台,竟被發現有逾百家上市櫃企業沿用系統預設密碼,營業資料恐被看光光。 這些使用者在成為受害者的同時,也成了政府、企業的資安破口。背後一個共通的問題恐怕是出在「討好」。 「(面對)主管機關的要求很努力去做,但碰到使用者就妥協,等於白費。」一名有十多年資歷的企業資安人員如此為財政部資安事件下註解。 他認為比起採用預設密碼這個檯面上的錯誤,更深層的根本原因是:不想得罪使用者。 所謂不想得罪,一是怕客戶因各種資安要求而棄用;二則是因為複雜度提升,可能招致大量客訴。 曾為多家大型企業與政府單位輔導資安的專家指出,政府站在推動電子化服務的立場,一定會避免使用者拒絕使用,於是在系統上就有所妥協。 同樣的,對電商、社群、遊戲等各種業者來說,因為不想損失用戶和業績,在安全機制設計上,經常也會讓步。 就像是大家都知道,如果在密碼登入機制之外,增加綁定手機等裝置,可以進一步提升安全,但如果要強制用戶完成裝置綁定才能使用,對某些用戶,如年長者,可能是不易跨越的門檻。 另一方面,「他(指使用者)覺得你在找麻煩。」一家百萬用戶App公司前IT主管就曾經遇過,在他們強化使用者登入機制之後,客服投訴案立刻爆量。 「做資安沒有業績,做得好沒有人會感謝你,出事了要請你負責。」他表示,最終結果往往是「大家就算了。」 對使用者妥協會提升資安風險,但不代表硬著來就能解決問題。 圖表製作者:何佩珊 資安系統設計,多不符人性 一名曾於員工規模5,000人以上大企業擔任資訊長的科技業人士舉例,基於會計稽核需求,公司要求內部系統密碼,除了要包含英數字、大小寫,還必須定期更換,且不能與前次相同。 可是,因複雜度高,不好記憶,於是一個荒謬的現象就發生了:「有人把密碼寫在紙上、貼在筆電上。」他問:「這樣安全嗎?」 另一種常見情況是,當一個人,在10個不同網站、App都被要求設定複雜密碼時,基於方便,可能會在10個系統都設定同一組密碼。這代表駭客只要在其中一個資安防護較弱的網站取得一組帳號、密碼,就可以輕易突破其他高資安防護的系統。 「密碼很難克服人性,這是事實。」KPMG安侯數位智能風險顧問公司董事總經理謝昀澤認為,很多系統設計不只挑戰人性,也不符合實務需求。他認為「密碼不能解決所有問題」已經是必須要有的基本認知。 而且對人性的考驗也不只發生在帳號、密碼上。 一名科技公司資訊長指出,透過釣魚郵件等利用情境、話術誘使對方交出機敏資訊的社交工程,已是現今常見駭客手法。他們就曾試過,在發薪日寄出一封「薪水無法入帳」的測試釣魚郵件,即使許多跡象可以判斷出這封信有問題,全公司卻還是有超過10%的員工上當。 「人變成現在最容易被突破的弱點,」他說,只要巧妙利用情境,就能讓使用者入局。 換言之,不論是政府單位還是企業,就算拉高資安預算,導入更強大的防護系統,或找資安公司偵測漏洞,做駭客攻防演練,一旦輕忽「人」這個關鍵環節,都可能功虧一簣。 提升意識,考驗主事者心態 至於解方,也不是沒有。 首要還是提升資安意識。前述資訊長認為,實際演練比宣導來得更有效。 「寫100次(宣導)大家看也不看,都覺得我才不會被騙。」他說:「最有效讓他記住,就是讓他被騙。」如果經常性這麼做,為避免被要求上資安課程,或不希望被主管盯上,警覺性自然提高。 另一方面,他認為只要願意在使用者體驗多花一點工夫,要在資安防護與人性之間取得平衡,也非做不到,但關鍵在於主事者心態。 就像台積電為了保護營業機密,除了數位面的資安系統,也在廠區內使用內含金屬的列印紙,做物理面防護,確保一旦有資料被攜出,就會被金屬探測門感應。這樣的設計強化了安全性,也對使用者的影響降至最低。 但如果認為做資安不會創造營收,又或是認為使用者造成的資安事件,責任在使用者身上,就可能將體驗設計的優先排序往後擺。 然而最終必須要面對的是,一旦發生了資安事件,包括商譽在內所要承受的損失,是否值得? 資安問題看似是複雜的科技問題,但其實最終的答案,還是得回到人身上。 ...