不怕一萬 只怕萬一 從個人到國家資安防護罩》萬物聯網如何不被駭！？

【文／曾欣儀 圖片提供／達志影像】

　　在萬物聯網的當下，全球企業與個人一邊享受科技帶來的便利，一邊也要承受隨時可能被惡意軟體、病毒、駭客攻擊的風險。然而，資安風險真的有這麼嚴重嗎？

　　今年初，世界經濟論壇(World Economic Forum, WEF)提出的《2019年全球風險報告》(Global Risks Report 2019)中，資安威脅的發生率已躍居全球風險前5位。

　　這份報告同時指出，日新月異的網路與技術的威脅是當前最重大的潛在盲點，更值得繃緊神經的是，專家們認為，我們仍未充分認識到網路化社會帶來的漏洞。

　　既然無法光靠人來抵擋這些網路威脅，是否能運用人工智慧(Artificial Intelligence, AI)來打造防禦金鐘罩，用機器來反制呢？台灣二版高級產品經理盧惠光笑說，現在連煮飯的電鍋都用AI，需要大量過濾資料的資安也升級為「智能資安」，運用AI、機器學習技術進行預防、偵測，可節省許多人力及提早發現異常。

找AI豎起快篩關卡

　　盧惠光指出，「雖然使用者行為難以預測，但透過機器學習，AI可進行使用者行為監控及分析，判斷這些網路行為是使用者正常行為，還是異常程序透過上網行為將資料傳輸出去；雖然資安人員可以快速檢視，但確認幾百萬筆資料還是需要時間，AI能協助快速抓出可疑資料，再經由人為判斷，以快速反應解除危機。」

　　對於智能資安發展，盧惠光則認為，「目前機器學習無法取代人，且需要仰賴人提供資料，建立學習模組及最後交由人為判斷，將來AI若進展到深度學習(Deep Learning)，如同下棋的AlphaGo一樣，那就相當強大，可以自主學習，也能主動發現公司設定漏洞、主動修復，若遇攻擊也會自動反應處理，到時甚至可能取代大部分人的工作。」

　　他也提醒，當資安對決演變成與駭客間的AI大戰時，除了不停開發新技術、查遺補缺以外，「站在防守角度，面對駭客不是技術問題，是人的行為問題，人的行為有太多漏洞讓駭客得以入侵。」投入資安領域超過15年，盧惠光看到的是，目前台灣企業對資安意識呈現M型化的兩極發展，「重視資安的企業沒那麼容易被駭，但同時也很多企業忽視資安，這也是為什麼就整體社會來看駭客會贏的原因。」

抗駭戰要有組織、制度

　　也就是說，想打造資安防護力，企業組織要先打造出看重資安的整體氛圍，才有機會多加一層保障，而想形塑組織的整體認知，絕非只是辦幾場教育訓練就能成功。台北市立聯合醫院資安長許世欣表示，得先從建立獨立組織開始。他認為專責單位與明確的組織制度有其必要性，並以聯合醫院設立資通安全管理中心的過程舉例說明，「這是管理層的眼界，資安工作範圍涉及全院，角色位階如果不對就很難統合。」

　　除了資通安全管理委員會、資通安全諮詢小組，為因應資安工作的突發性，許世欣統合資安全管理中心與執行管理單位成立3個機動小組。一是當資安事件發生時，迅速反應、處理的「緊急應變小組」；而「情資因應小組」負責妥善處理資安情報、病毒攻擊或系統漏洞消息，「過去情資來了，大家可能會確認沒事就過了，但現在情資來了就需立案、記錄，這樣做也是方便將來外部查核。」最後一個「稽核小組」則是因應系統需接受第三方認證而設立。

　　在完善的組織、架構支援下，今年3、4月許世欣搭起與各OT部門溝通的橋樑，營造OT相關的資安意識，「現在大家敏銳度提高，有事情也知道可以問誰，這是一種氛圍。」舉例來說，他曾接到一個醫療OT部門的案子，某儀器商希望能拉一條專線接到醫院系統，如果設備出問題可遠端馬上排除，拉專線的費用也由廠商負責，「聽起來是不是很美好？」許世欣笑著問。

　　最後這個提案被否決了。他解釋，「派人到現場維修可能要等2∼4小時，線上處理也許只要5∼10分鐘，對使用者來說聽起來很好。但若從資安考量，這條線接到醫院系統上，醫院怎麼知道廠商何時進系統？進系統是蒐集設備資訊還是病患資訊？這是把醫院曝露在風險下！」許世欣強調，處理這些問題都要很小心，「有時美其名是服務，但實際上對方做了什麼你可能都不清楚。」

2019是OT的主場年

　　針對企業總是一窩蜂的把資安與IT設備畫上等號，IBM也認同OT是必須特別留意處，在提供資安防護解決方案服務部分，今年更將科技製造業的OT資安防護列為首要目標。IBM資訊安全部門全球威脅情報防禦產品協理謝明君舉例說明，「像製藥業通常是連續製程，一站接一站沒有回頭路，當一批貨走錯路，可能讓藥品遭到污染。幸運的話在品管階段就報廢掉，但也有可能最後流到市面上，演變成藥物安全問題。再看電池製造業，一旦生產線上有問題沒被偵測到，生產的電池可能反應不靈敏、壽命短，甚至會有爆炸問題。」

　　無論資安事件的起因是透過專線感染，或機台定期維修時的軟體更新失控，即使只是一個尚未造成嚴重損失的威脅，仍可能因為資料在生產網絡中、甚至供應鏈廠商間不斷交換，傳遞錯誤的情報，最後導致企業做出失敗的決策。

　　因此謝明君認為，「資安風險就是商業風險。」有些老闆的心態是交給IT或資安長就搞定，但資安認知與防護不能只靠少部分人努力，而是全組織的共同任務。像資安政策往往會包含員工與各級單位要遵守的許多規範，如果組織成員有便宜行事的態度就容易讓企業的防線破功；要做資安也會有添購軟硬體等需求，唯有不同單位，例如：營運、財務等不同單位都認同資安的重要與必要，願意全力給予資安單位或專案支持，企業對外的抵禦力才有機會變得健全。當企業處於資安專業人才暫時不足的轉換期，也可以藉由IBM的服務或顧問團隊，從分析公司營運特性著手，先一步建構客製化資安防護解決方案。

　　今年9月，風險管理公司Marsh與微軟共同發表了《2019全球網路風險感知調查》(2019 Global Cyber Risk Perception Survey)，有意思的是，有47％的企業購買了資安相關的保單。然而，「只要有買保險，就肯定不會出包」的傳說有可能應驗嗎？面對資安的新趨勢與風險，企業、個人，甚至政府又該怎麼推動，才能拉開網路上我們與「惡」的距離？更多精彩報導，請看本期《能力雜誌》。

【完整內容請見《能力雜誌》2019年10月號，非經同意不得轉載、刊登】