讓駭客無所遁形 — 資訊風險

　納莉颱風重創北台灣的第二天，禍不單行，在網路世界裡，也出現了一場破壞力不亞於颱風的掀天巨災。
　她叫「寧達」（Nimda）。
　九月十九日，家住桃園的趨勢科技技術支援部經理康宏旭，白天才吃力地清光家裡淹水的污泥，卻在睡夢中被手機的警訊聲吵醒。原來是新病毒「寧達」，一出現就屬於最危險的「紅色警戒級」。不得了，得緊急動員了。
　清晨六點，趨勢大部份的技術人員已趕到位於敦化南路已淹水的辦公室，迅速把停擺的電腦總機改成人工轉接後，連台灣區總經理丘立全也下去充當接線生。果然企業用戶的求助電話響個不停。一天之內，台灣趨勢就接到超過三百家企業求助，災情還持續擴大中。
　到十月為止，擴散空前快速的寧達造成全球約五億九千萬美元的損失，讓今年病毒造成的總損失達到歷史新高。

風險問題就是管理問題

　隨著企業的運作愈來愈資訊化，資訊風險管理成為熱門的新行業。勤業會計師事務所的科技風險顧問服務才剛推出一年不到，因為層出不窮的資訊安全事件，預計未來每年會有50％以上的成長。
　比中毒讓網站停擺更嚴重的，便是電腦裡的機密資料外洩。「很多人過來找我們，不是說我中毒，而是說我資料被偷了，競爭對手竟然知道我的東西，」勤業會計事務所風險顧問萬幼筠說。
　最著名的案例，就是香港愛普生公司遭到離職員工侵入內部網路，悄悄地改了極機密的半導體設計圖，結果該批產品全數通不過測試，愛普生才發現問題，造成巨大損失，也賠上商譽。
　因為企業界累積許多防不勝防的經驗，體認到萬幼筠所說的「永遠不可能做到百分之百的可靠」，也因此，風險管理的哲學轉為運用完善的流程「把風險降到可以manage（管控）的程度」。
　目前企業常遇到的資訊風險，除了中毒和機密外洩，愈來愈多的天災人禍造成的資料毀損，也成為不得不預防的風險之一。
　這次美國九一一事件便是最好例子。總部位於紐約雙子星世貿大樓的摩根士丹利公司，於災變後因為在全球的四套系統，可隨時備份所有資料而不影響營運，贏得世人的讚歎。讓EMC等提供異地資料備援服務的公司業績突飛猛進。
　其實，許多資訊災難，一大部份是人為疏失。

人的配合才是大問題

　以寧達病毒為例，這次寧達藉以入侵的系統漏洞，其實早被發現，微軟四月間已在網站上公布漏洞修補工具，卻有不少系統管理員沒有修補這漏洞。「這很奇怪，台灣沒人管這件事，」丘立全說。他曾擔任趨勢科技全球產品部主管，和其他國家比較，總覺得台灣人「比較被動，也比較鐵齒」。
　其實，該做的事沒做，而且沒被發現，就是管理出了問題。萬幼筠說，要根本解決問題，必須建立一套程序，「定期監督你趕快做，這才是管理。」
　管理不好，買再好的設備都沒用的。萬幼筠舉他經手的案例：「客戶非常有錢，買很好的防火牆，還是被（駭客）轟的亂七八糟，因為第一沒有人管，第二沒有管的know—how」。
　同樣的，要做資料備份，不是裝了異地備援的設施就可高枕無憂。「這其中有很大的know—how不是備份，想想看，（世貿大樓）炸掉後剩下三個單位是那個開始承接？那些客戶怎麼轉換？」萬幼筠指出，許多跨國公司預先把各種緊急狀況寫成手冊，養兵千日，真遇上大難便派上用場了。
　這些，未來將可由新興的資訊安全認證，提供一個統一的準則，以一連串嚴密而仔細的手續來進行。
　今年才開始營運的新世紀資通公司，因為大股東是具有豐富國際經驗的新加坡電信，所以一開始，就要求導入企管顧問來協助資訊安全。
　新世紀資通公司資訊安全部副理姜懷恩承認在和勤業合作的過程，才發現「其實那些駭客的風險還不是重點，人（的配合）才是最大的問題。」
　例如，和個人資料安全關係最要緊的「密碼」設定，便是最好的例子。
　為了防止入侵的駭客在短時間破解密碼，蕃薯藤科技技術研發與工程處資深經理連祥一的做法是每個密碼至少要八位數以上，包含英文大小寫、數字符號，而且全由亂數組成，「合起來的組合就是天文數字，你慢慢猜嘛！」他笑著說。
　然而，長長一串的亂數密碼，既難背，又不能寫起來貼在螢幕旁，相信許多人都會覺得很麻煩。這就是資訊安全的最大難題——「安全性和方便性的兩難」。

不遵守，就是與張忠謀為敵

　姜懷恩以親身經驗來說，新世紀資通每位新進員工都會拿到一本厚厚的資訊安全守則，裡頭記載著上千條細如牛毛的規定。
　一開始推行時，其他部門同事面對層層手續難免抱怨連連，因此資訊安全部門便盡量把方便性提高、安裝的程式步驟簡化，「先幫他做好，讓他按一下（按鍵）就可以，」他解釋。
　但仍會有些企業礙於阻力，因而徒有規定卻無法落實。「這時就得靠當事人的決心，」萬幼筠說。
　同業帶著敬意的舉出台積電為範例。他們推動資訊安全的方式是發下錄影帶，片中由董事長張忠謀現身說法，強調如果不遵守資訊安全守則，就是與張忠謀為敵。這樣保證是上行下效，「誰敢跟張忠謀為敵啊？」姜懷恩說。
　共識是，資訊風險是防不勝防的，「最後一步，就是把風險轉嫁了，」勤業風險管理部門負責人施景彬說，也就是買保險。
　今年十月，國內剛核准一個嶄新的保險業務——資訊安全險。
　第一家申請的蘇黎世銀行行銷經理吳曉梅表示，早有從事電子商務的客戶一再詢問，但具體保險方式還在評估中，而且電腦病毒造成的傷害並不涵蓋在內，因為無法預測未來造成的損失。
　不景氣中，空前怪異的病毒和天災人禍讓資訊安全的市場卻正如旭日東昇，在「異地備援」、「網路保全」這些新名詞中，企業主還是該以嚴格執行風險管理為衡量準則，不要以為買了昂貴的設備和服務就可高枕無憂。（陳良榕）

何謂資訊安全認證？

　國際標準組織（ISO）在去年依照英國標準BS7799制訂ISO/IEC17799，目前處於試用期。和國人熟知的的ISO9001品質相比，屬於較軟性的標準。現在多由會計師事務所的顧問部門輔導企業量身打造一套最適合的「資訊安全管理方案」。主要有三大目標：機密性、正確性、實用性。
　進行步驟如下：
　第一，進行的是範圍界定，定義資訊安全管理要涵蓋的範圍，看是全公司、工廠還是單一系統。範圍愈小，愈好操作。
　第二，資訊安全評估：盤點所有範圍內公司資料分出機密等級，然後再評估可能面臨之威脅和漏洞，蒐集可解決這些缺點的資訊和技術。
　第三，進入資訊安全架構規劃階段，根據前一階段資訊，著手設計出書面的資訊安全政策，再逐步規劃，訂出解決方案。