:::

社論

【社論】創新防駭資安思維 捍衛數位國土

 美國「印第安納波利斯」聯邦地方法院大陪審團,日前正式起訴2名中國大陸駭客,控告他們於2015年駭入美國多家大型企業資訊系統,竊取近8000萬人個資。此類資訊犯罪形態致令用戶權益與企業獲利損失,屢創新高,令人咋舌;但在資訊服務創新迅速的發展下,資安問題恐怕僅只是冰山之一角,使得我們不得不以審慎態度與嶄新思維,正視資訊安全防護工作。

 今日我們生活的各層面,無不享受著資訊化的便利,從食衣住行育樂,到繳稅、繳停車費、辦理戶口登記等行政業務,甚至是政府政策宣導、民意溝通與資訊公開及跨國合作等,無不依賴便捷的網路資訊服務。然對資訊依賴的程度愈高,就表示資訊安全的影響愈大。因為資訊服務在創新與傳遞之際極為迅速,相對而言,用戶卻因為技術知識與觀念的不對稱,對相關風險無從知悉,使得資訊世界的防護缺口益甚,亟需深思。

 資訊建置的基礎防護,可說是資安的第一道基礎防線,包含基礎建設、資安防衛建置、制度與觀念的建立等,環環相扣,馬虎不得。具體來說,各資訊系統在建置時,本應設計完善的資訊安全防護規格,於資安防護阻絕工程上,除了防毒軟體或防火牆的建置,在防衛縱深上,也要層層建立安全把關機制。例如應在個個網路閘道端建立防護機制,並針對內網進行流量監控與行為分析,甚至導入機器學習技術,強化系統內部資訊安全,可說是對當前已然複雜化的網路攻擊手法之因應;針對伺服器的資訊防護,同樣不能掉以輕心,需以程式異動監控軟體,監控伺服器上的異常執行動作,才能大幅度增進對於網路攻擊的防護縱深。

 更重要的是,必須加強人員管理和事件監控,並在網路環境上做到實體隔離,嚴格設定與管理存取權限;對於系統的存取,應該透過跳板機制進行。藉由網路環境規劃配置,從每個節點的硬體與系統設計著手,方能將基本的隔離機制確立。其次,就人員管理層面而言,必須確保資安人員在流程執行上的確實度,唯有從政策、組織、軟硬體,乃至人員管制,以數位國土安全的觀念積極面對,方能坦然面對數位時代的挑戰。

 有關特定電腦系統的運轉妨礙、阻斷與民生息息相關之資訊服務、混淆網路傳播資訊之誠信度、輿情與民眾心理之操作等,對於現今高度依賴資訊生活的全球環境,必然造成巨大威脅。在求新求變的資訊市場中,許多我們習以為常的資訊服務,為求簡便,在設計上無法周全考量個人的隱私與安全;已有若干研究發現,只要依據網路使用者不知不覺中留下的數位足跡,就可判讀使用者的個人行為與思維模式,且判讀準確度已較當事者最親近的配偶、密友,甚至當事人的自我意識,都還要高。

 此外,網路匿名統計資料的不當使用,對社會大眾造成的威脅也日漸升高。以往記名的資料應用,可能只是針對式的侵權活動,目標對象明確而範圍局部,且犯罪形態大多仍不脫離實體生活;而無記名資料倘若以程式針對個人匿名行為進行自動化引導,若其牽涉使用人數無限擴大,恐易對群體造成行為上的集體制約,並進而造成深遠且不易預判之影響,以現今相關法規及執法手段來看,對此尚無明確有效的防制之道。

 因此,除在基本防護與社會思維上須加強資安觀念的推廣,或許更應該透過法律、政策與公權力之數位部署,從制度面上加入創新的思維,重新審視各類資訊服務。例如,可以在法律上,設定使用者利益保護原則,因為在技術資訊不對稱之下,倘若法理條件傾向保護使用者,將可實質縮小創新駭客活動能投機的空間;若能強化個資法對個資的保護能力,鼓勵系統設計者在設計服務時,採取個資極簡主義,除非有絕對必要,不再索取非必要個資,也不在非必要時提前索取個資。如此,不僅能簡化使用者的資訊取用服務,同時也能減少使用者的隱私被不當曝光的機會,相對減低個資遭竊取時之損害。

 綜言之,我們應集思廣益,確立資訊服務範圍中價值優先順序,規範在何等條件之下採取何等價值優先,如機敏條件下,安全價值應優於便利價值;亦或在低個資使用條件下,便利性得優先於安全性等。然而,民眾數位足跡之取得與應用,在技術上與法規上的管制難度,目前仍相當不容易;且過度管制又會妨礙技術應用發展,可謂兩難。在未開發出有效管理方法之前,明確地對大眾宣導此一概念,仍是首要之務。

友善列印

相關新聞

熱門新聞