【從「疫調完整不獵巫」學防駭】落實追查潛在風險與鼓勵通報，資安觀念要更進步

在臺灣防疫成功經驗中，除了一開始的及早掌握情資，為了不讓疫情在臺擴散，具有足夠而迅速的疫調與緊急應變的能力，是我們現在還能自由活動、還不用採取嚴厲手段的重要關鍵。

當臺灣在1月21日出現首例確診病例後，疫調工作也同步開始啟動，為的就是進一步追查與分析，找出潛在與疫情事件相關的所有可用資訊，像是我們會追溯每個病例的旅遊及接觸史，目的就是要防範大規模社區傳染於未然，阻止疫情隨市場人口流動而擴散。

要讓資安事件追查順利，第一時間不應重灌電腦

關於傳染病的疫調工作，這樣的概念對於資安人員來說，並不陌生。因為我們平時面對資安事件處理應變，從完成損害控制與復原作業，到事件調查及處理與事件根因分析的流程，都有不少共通之處。

不過，這裡我們更想要提醒的是，在事件應變與調查過程中，許多企業在第一時間確認電腦遇害後，往往不是先著手追查問題根源與保全證據，反而是針對相關的電腦，進行拔網路線、重開機與重灌系統的工作，希望盡快讓被入侵的該臺電腦恢復正常運作。但這種只求即刻復原，不繼續追查潛在風險的作法，看似合情合理，其實並不能夠真正幫助企業做好資安。

當然，會發生這種情況，也代表企業平時沒有做好備援的準備工作，否則，企業應能視資安事件損壞程度，儘速啟動備援機制，而遇害主機的組態與相關資訊也就能夠保留下來，以便供後續鑑識之用。

對於這樣的問題，戴夫寇爾執行長兼共同創辦人翁浩正表示，當這些電腦主機被惡意程式感染時，表示有駭客活動，代表該電腦可能會成為感染源的起點，因此，這確實跟疫調有一樣的道理。他並提醒，企業必須盤點自己的資產在什麼地方，而這就跟掌握誰有可能被感染一樣。

此外，在資安事件處理的當下，企業最優先要進行的工作，就是要確認狀況，以控制資安事件造成的損害，以及預防更進一步的災情發生。事後也要找出事件發生真正原因，改善問題，才能避免下次受到同樣威脅仍然束手無策。

正向防疫不獵巫，是疫情控制時會強調的觀念，戴夫寇爾執行長兼共同創辦人翁浩正表示，上級對資安事件通報的態度，也該要有正向鼓勵的態度，才能真正有助於做好資安工作。

鼓勵通報是正向資安心態

較特別的是，在這次疫調的過程中，各界也都出現了呼籲不要「獵巫」、正向防疫為重的提醒。

特別是在敦睦艦隊事件爆發後，許多民眾擔心這些官兵成為防疫破口，而在輿論出現獵巫聲浪的當下，中央流行疫情指揮中心指揮官陳時中也公開呼籲不應譴責確診者與居家隔離的民眾，因為這種獵巫的態度，可能反會讓感染者不願出面篩檢與治療，並不利於防疫。

而且，之所以採取這樣態度來看待疫情，最主要是因為，臺灣疫情現在能控制住，有賴於大眾的信任，以及誠實告知，而這也讓疫調人員能夠很快釐清可能來源；反之，若是對確診者獵巫的情況越嚴重，感染者貼上種種汙名的標籤，導致他們不願出面篩檢與治療，對於事實、真相的呈現，就會越來越困難，因此，很容易對疫情的調查與控制造成阻礙。

而在資安上，我們也有類似的問題要面對，經歷過這次防疫不獵巫的經驗與同理心之後，其實是可以讓大家對資安威脅遇害的狀況，能夠有更積極、正面的體認，而非一味譴責，導致受害者不得不隱瞞實情，而導致無法徹底掌握資安威脅的動態。

例如，當企業自己受駭時，若要避免別人也可能成為下一個受害者，所以要鼓勵通報，整體資安環境才會健全；而當企業內有人主機感染電腦病毒，病毒是有可能擴散造成更嚴重的影響，所以，員工也必須通報IT或資安單位。

只是，通報資安事故的人往往受到四面八方的責怪。翁浩正表示，如果上級不能獎勵通報者，反而強烈責怪他，試問：對方是否也有可能因此隱匿不報？反之，如果上級鼓勵他趕快通報，企業還可以及早確認這個狀況的嚴重程度，了解是被駭客、惡意程式入侵，或是系統誤判。

而對於資安往往面對上級的責難，在資安界還有其他一些意見，也呈現類似上述的道理。例如，TeamT5杜浦數位安全執行長蔡松廷表示，資安事件是會發生的，但我們要關注的重點是，企業是否有應變的準備與計畫，如果出事後卻發現自己都沒有準備，這的確是可以責難的。

此外，資安長的設置，不僅是因為無法期待所有企業組織高層都要能懂資安，除了交由他統籌資安編組與規畫，其實也能夠趁機認可資安團隊的表現。

另外，勤業眾信風險諮詢服務執行副總經理林彥良舉例，企業在內部稽核或外部稽核時，並不是一發現缺失，就對其進行處罰，而應該是要責罰企業不改善的情況。因為，發現「缺失」，並非發現「事件」，面對缺失，我們還有時間可以設法改善，但是企業如果有問題卻仍不改善，這才是需要處罰的情況。而且，有更多問題若能先被發現，其實是件好事，而不是有問題，卻都沒有發現，因此，相對地，也就沒有機會能夠及早處理。

每個人都可能是破口

最後提醒的是，在這次疫調經驗的省思中，不少資安專家都談到一件事，那就是：資安就跟疫情一樣，每個人都可能是破口，責任是每個人都要有的。

因此，如何能夠持續警覺，是很重要的。一旦察覺身體有異常要去檢查、定期健康檢查，類似的這些概念，我們從小就被灌輸，而資安防護也是如此，如果已經察覺異常，就要能夠通報。對於資安防護的鞏固，需要持續地進行驗證和教育訓練，例如，我們需要針對系統定期弱點掃描、滲透測試，對於員工資安意識，需要定期執行社交工程演練、資安教育宣導等。

畢竟，經歷過這次防疫，大家都能體認到，如果自己一旦被感染，其實是有可能害到其他人，如不能誠實告知，更會造成國家在防疫上的缺口。

這樣的觀念並不難理解，衛福部資訊處處長龐一鳴也深有同感，他說，從前傳統傳染病防制，都是衛生部門再做，現在是全部的人都在動員，而在資安上，面對網路釣魚郵件等威脅，也是如此，因為只要任何一個員工不小心點了惡意郵件，就有可能會害到整個單位的防護破功，因此，資安不是只有資安團隊才要做的事，而是每個人都要去守護的。

 更多相關報導  從防疫學防駭