全民培養正確的資安觀念,是降低災損的重大關鍵

本文轉載自天下雜誌
文/卡巴斯基 

 

目前我們生活上有許多事情都是在虛擬的網路世界上處理,像是購物消費、投資理財,或是社交聯繫等,我們與虛擬的距離越來越近。全球資訊安全服務大廠卡巴斯基全球業務副總經理Maxim Frolov表示,當虛擬成為我們生活的一部分,資訊安全(Cyber Security)將不再只是存於大家的電腦或手機中,而是與我們生活息息相關,因此做好資安防護不再只是單純為了虛擬網路,也是為了讓真實世界更加安全。

要落實資安防護,培養正確的防護觀念很重要,卡巴斯基亞太區區域總經理Stephan Neumeier認為,資訊安全的觀念不應該只侷限在專業的資安專家或工程師身上,而是全民都要了解的,特別是年輕世代與資深的長輩們。「這些年輕世代(特別是小朋友)屬於數位原住民,他們在生活上已經很習慣使用這些數位裝置與網路服務,在使用過程中了解『哪些行為是很危險的』觀念很重要,加上虛擬世界對真實世界影響很大,就像教導小朋友過馬路要看紅燈這樣,培養正確觀念以避免傷害;而資深長輩則是因為對相關警覺性較低,適度推廣避免他們成為防護網的漏洞。」

成立專業資安偵防機構,確保國家機器順利運行

傳達正確的資安觀念,也是完整資訊安全防護的一環,卡巴斯基除了具有防護軟體外,也有提供專業的資訊安全偵防中心的建置、顧問與維護等服務,並有提供相關的教育訓練,目前已經有許多國家的國防級單位委託卡巴斯基建立全方位的資訊安全防護與鑑定單位,而不同單位的規模與屬性會有所差異,因此卡巴斯基在安全防護的客製化服務程度非常高。

Stephan Neumeier指出,如今的資安防護思維,不是只有避免駭客入侵,而是要以「確保關鍵服務持續運作」的思維來看待,像是企業要保障關鍵服務能持續運作,而國家機器就是要確保醫療、消防、警政與國防等體制穩健運作。「如今有很多基礎建設都仰賴大量的數位化管理,當資安事件發生時可能會讓國家級的系統無法運作,以警政系統為例,資安意外可能會導致罪犯脫逃、交通事故增加等危機,因此資訊安全不單單只是確保網路環境,而是保障一家企業、甚至是整個國家的安全。

數位聯網時代下,資安不再只是個人的問題

在過去,資安事件影響的範疇並不大,可能是少數幾台電腦、一個組織的規模,而如今在四通八達的網路串接下,每個人都可能是資安事件的受災戶,例如電子商務業者的系統如果不安全被駭客入侵,那麼去購物的消費者就可能因此受災,所以是否落實資訊安全,不是只有個人的事,倘若自身沒有留心,不小心將影響其他人。

在訪談的過程中,卡巴斯基的兩位專家分享了許多精闢的資安觀點,也不斷強要每個人都要肩負資安防護的責任,而問到我們在防護系統建置上的優先層級,例如電腦內的防毒軟體或伺服器防火牆等,其先後順序應該要如何處理時,Maxim Frolov則認為資安防護沒有所謂的優先層級,因為防護工作是全面性的,偏廢一方可能會導致弱化的環節成為駭客下手的目標,因此在防護建設上必須全面同步落實才能達到目標效果。

「如果說我們要啟動資安防禦的計畫時,第一步要執行的應該是資訊盤點,先了解內部環境中哪些部份可能是風險、哪個環節需要落實防護等通盤性的了解。」Maxim Frolov說明道:「先了解狀況,在擬定通盤性的防護策略、建立相對應的資安系統等,當然,如何培養每一份子具備安全觀念,這也是防護策略中要考量的。」

設法在資安事件後迅速復原、降低災損是重點

疾風病毒、ATM自動吐鈔…,層出不窮的資安事件不斷上演,Stephan Neumeier分析接下來可能會發生新型態的勒索軟體威脅,相較於過去駭客集團會以封鎖電腦檔案為威脅,要求受害者支付贖款,新型態則是會運用數位攻擊來癱瘓基處建設,或是讓企業服務停擺作為恐嚇手段,相較過去數千美元的勒索軟體,新型態攻擊在單一事件面臨的損失可能高達20萬美元。

「沒有100%完全無虞的安全防護機制。」Stephan Neumeier強調目前看待資安攻擊應該有的正確觀念,表示駭客攻擊可能會從意想不到的地方發動,因此我們一方面要健全防護機制、降低被入侵的機會外,也必須要能在遭受攻擊後快速恢復、將損害控制在最小範圍內,同時也要能循著軌跡找出事件的前因後果,除了要讓整體服務系統快速恢復運作,也能杜絕之後相同的資安事件發生。」