科技新世代如影隨形的挑戰:資安與隱私
他笑稱:「資安就是講起來重要、做起來次要、忙起來不要的東西,沒有出事時,大家都不會注意到。」即使是台積電這般嚴謹的公司,幾年前也曾發生過嚴重的機台中毒事件,導致整個生產作業被打亂。事件發生後,台積電不僅積極加強內部資安管控與部署資安設備、明定資安風險評估及管理流程,取得ISO 27001認證,這是一套國際通用的資訊安全管理工具和制度。此外,台積電也積極參與制定業界半導體機臺設備資訊安全標準,同時要求供應商進行資安風險評鑑、資安考核與資安改善,這些做法也讓供應鏈開始注意到資安議題。
CIA及AAA是提到資訊安全一定會談到的兩大重點,CIA指的是機密性( Confidentiality ):確保資訊只有經過授權的人員、程序才可以使用;完整性( Integrity )及可用性( Availability ),分別代表:確保資料只有經過授權的人員、程序才可以取用;完整性( Integrity ):確保資料的準確度與完全性;可用性( Availability ):確保資料在需要時可以被存取。AAA則是從另一種角度去談資安在管理方面的重點,分別代表驗證(Authentication)、授權( Authorization)、稽核(Accounting)。
李維斌建議,如果想要檢視公司的資安現況,可以根據美國「國家標準技術研究所」(National Institute of Standards and Technology)「網路安全管理架構」產業標準(Cybersecurity Framework,簡稱CSF)所提到的框架去思考。框架中可分為identify、protect、detect、respond、recover五大部分。
李維斌以疫情為例解釋,這份標準有幾個關鍵,以當前疫情的情況為例,你要能確認(identify)自己的風險到底在哪裏?可能是群聚、公共場所或密閉空間,並知道如何保護自己(protect),包括戴口罩、勤洗手。但是,做了保護措施還是有染疫風險。因此,會需要監測機制(detect)。假使監測到染疫情況,會需要回應機制(respond ),對患者而言可能是住院治療。康復(recover )之後,更需要能透過檢討讓自己變得更好。
資安不等於隱私
「資安跟隱私是不一樣的。」李維斌提醒,雖然有些資安的問題會造成隱私暴露,因此常被搞混,以為兩者指的是一樣的概念,但是,其實這是兩種不同的概念。舉例來說,假設你家院子外需要蓋圍牆,你的目的是資安還是隱私?針對兩種不同目的設計出來的圍牆,一定不同。
以安全為目的的圍牆,上面可能會放釘子、玻璃碎片或鐵絲;但如果是以隱私為目的,可能會設計出很漂亮的圍牆,只要能遮住你最在意的事情就好。由於兩者考量的東西並不相同,「不能認為資安做好就等於隱私做好了,兩者必須一起看。」
李維斌說明,前面提到資安的機密性、 完整性、可用性,及ISO27001,比較像是第三方驗證的依循,偏向概念而非法律。但是,隱私則會有個人資訊的授權使用、法規條例如GDPR、個資法等法律性的問題。
數位轉型與資安的衝突
資安可分為管理、技術、操作三個層面,「IT部門常把重點放在技術面,因為管理及操作面碰不到,所以沒辦法管。」李維斌說,資安和數位轉型在某些地方是互相衝突的。數位轉型追求的是改變、挑戰,也常常在意效能好不好。他以過往的產業經驗為例,提到企業常常追求微時刻(micro moment),在消費者有動作的瞬間得知其意圖,以做出適當的回應與業績提升。其他在數位轉型部分會提到的還包括客戶期望(Customer expectations)、創新(Innovation)及經驗(Experience)。但這些都與資安中所要求的規則與法令相抵觸。
他指出,資安也會帶來效能的消耗,例如,任何一個改變都可能為公司帶來威脅,引發衝擊,這時候就需要大家坐下來協調。此外,保護及防禦機制也都會需要花費額外的資源。
越來越多的資安挑戰
隨著資安議題的關注度提升,需要遵守的相關規範也越來越多,包括個資相關的隱私問題也都需要特別了解。李維斌認為,當前的資安還有許多挑戰要面對,例如當公司使用不同廠商的系統服務時,甚至還有以前開發出的舊系統,這些不同的系統間該怎麼整合?另一方面,當前的新科技變化太快而無法掌握,如果這時候發生問題,其實會來不及回應。
新科技也會帶來新的資安議題,李維斌舉例,由於自駕車會藉由照相機捕捉影像並判斷路況,假設有位行人所穿的衣服花色無法被電腦偵測判讀為行人時,造成的危害就會很大。又或者,有些人會故意在馬路上貼上特殊貼紙,這些貼紙人眼感受不到差異,但對汽車的偵測系統可能造成影響。這些都是AI模型的弱點,甚至是風險。因此,有些人也開始研究AI的攻擊模型,試圖減少模型被攻擊的狀況。現在大家喜歡談的物聯網(IoT),其實也會讓更多的攻擊點暴露在風險中。
從現實面來說,公司在意的還是賺錢,但是資安談的是損失管理,兩者不太一樣。
李維斌說,駭客攻擊時並不會從整個系統下手,而是會找最弱的環節,尤其是兩個不同系統交接的地方,通常是可被攻擊的弱點。因為系統通常是連結在一起,這些彼此連結的環節正好是系統的弱點,這些案例又多又繁雜,永遠都有做不完的資安問題。所以才會有「Yesterday’s security solutions can NOT solve today’s security threats.」這句名言。我們必須要不斷更新自己的相關知識,才有辦法跟上資安威脅的變化,因為它宛如不斷在變化的變種病毒。