中國在武漢肺炎疫情第一時間爆發時,對外宣傳都是「可防、可控、不會人傳人」即便坊間仍有不少訊息透露,例如,武漢肺炎疫情從爆發之初,許多疑似感染不明肺炎的病人,包括醫護人員在內,都已經收治在隔離病房治療,而這些傳言的出現,都讓此病不會人傳人的說法打上問號。

而臺灣疾管署也從這樣的跡象判斷,武漢肺炎的疫情不會像是世界衛生組織(WHO)對外宣稱,如此單純無害,疾管署甚至早在2019年年底,就寫信給WHO,希望能呼籲全球政府,都能及早注意防範武漢肺炎可能導致人傳人的傳染風險。

WHO違背專業素養,相信他們情報的國家下場都很慘

WHO過往在全球健康防護的作為上,扮演專業、積極且中立的角色,這也使得加入WHO的近二百個會員國,都會相信WHO對於各種傳染疾病的專業判斷,當然,也包括WHO對於武漢肺炎的判斷。

不過,當WHO從一個關注全球民眾健康狀態的非政府組織,搖身一變成為親中的非政府組織時,也讓WHO的專業性大打折扣。例如,WHO幹事長譚德賽到中國訪問時,不僅對全世界宣揚中國政府對於武漢肺炎採取封城管控措施的正確性,一句「全世界欠中國一個道謝」、「如果我得武漢肺炎,會希望可以在中國治療」,竟有效地協助中國政府擺脫「武漢肺炎散佈者」的角色。

甚至,WHO也積極力挺中國政府,認同他們宣稱武漢肺炎疫情「可防、可控、不會人傳人」的政治口號,而這也使得一月下旬開始到二月份,武漢肺炎爆發全球第一波的流行:當時的主要確診者和死亡病例,都來自中國境內和部分亞洲國家。

但是,當譚德賽持續對外宣稱:武漢肺炎是「可防、可控、不會人傳人」,除了臺灣之外,包括日、韓、歐盟和美國的全世界絕大多數國家,對於WHO這樣醫療衛生專業組織的情報來源,都深信不疑。

也因為其他國家都百分之百相信WHO提供武漢肺炎的情報,這也造成各國輕忽、低估了這樣的公共衛生危機。於是,在中國及亞洲國家爆發第一波武漢肺炎疫情時,其他歐美各國因為對於武漢肺炎疫情缺乏正確的認知,並且由於他們沒有足夠的防疫意識,直接造成第二波大規模武漢肺炎確診和死亡病例,在全球出現大爆發。

從一月底到現在全球疫情仍持續蔓延的局面來看,相信WHO武漢肺炎情報的國家下場都很慘,而這麼推論的最直接證據,就是因為不正確的情資,結果造成這一場全球超過一千三百萬人確診,超過五十萬人死亡的疫情悲劇。

確認情資,應該以事實為查核基礎

解析本次武漢肺炎防疫的案例,我們可以發現:專業機構的確有其專業性,但是過度仰賴單一的情報來源,當面臨組織質變,甚至出現政治凌駕專業的情況時,往往都會導致專業情報變得不可信任。

國際電腦稽核協會(ISACA)資訊風險治理諮詢小組委員楊博裕表示,就資安的面向來看,目前不會出現類似WHO這種全球性的資安專業組織,作為資安情報的來源。但對於情報這件事情,他認為,「盡信書不如無書」,不管是收到任何資安情報,都必須抱持著「事實查核」的前提,做進一步的求證和確認。

他以勒索軟體Wannacry爆發時為例,因為用戶沒有及早修補或因應微軟SMB漏洞,結果造成勒索軟體Wanacry橫行,而企業用戶在知悉這個情報時,就必須要先確認情報來源的正確性,我們可以從微軟官方網站查詢,確認他們是否已經對外公布SMB的漏洞資訊,也要確認微軟是否已經對外釋出相關的修補程式。

他指出,當資安人員已經掌握相關情報來源後,就必須回頭盤點企業內部的資訊系統,確認自身IT環境是否也面臨SMB的漏洞,以及是否已經安排相關的漏洞修補排程等等。

「畢竟,資安就像鬼一樣,聽到的人多,但看到的人少。」楊博裕說,所以,各種資安情報的確認,一定要有事實作為查核基礎,也可以善用類似金融業打造的F-ISAC(資安情資分享平臺),作為情報查核的來源之一。

國際電腦稽核協會(ISACA)資訊風險治理諮詢小組委員楊博裕表示,沒有任何的資安情報是永遠可信或永遠不可信,所有的情報在採用之前,都必須先做到事實查核,才不會做錯決策。圖片來源:iThome

對威脅情資抱持合理懷疑,交叉比對以降低資安事件傳播率

對於資安的情資處理,KPMG顧問服務部執行副總經理謝昀澤表示,應做到即時蒐集情報、多重可靠來源、信息交叉比對、釐清情資時序、確認適用條件、對比現有資產等重點,才不至於誤判情資。

特別是資安情資來源,他指出,官方消息通常即時性較差,且內容正確性也可能失真,組織必須要有來自其他民間組織、協會、研究機構、聯防平臺、協力廠商,甚至地上、地下網路論壇的多元來源,並有能力進行分析判斷。

資安上,不能相信單一情報來源,但如何判斷呢?資誠智能風險管理諮詢公司執行董事張晉瑞認為,要保持合理懷疑,不相信單一情資來源,但也不盡信。例如,資誠(PwC)會對全球進行資安監控,曾經在儀表板上看到臺灣有某企業遭駭,該企業被當做跳板攻擊其他單位。

他說,資誠透過內部管道告知受駭企業,剛開始,對方存疑並有高度防禦心強,發生多次後,現在則透過TWCERT/CC和受駭企業聯繫。張晉瑞認為,不可因為儀表板沒有警示便以為一切安好,當有資安情資來源出現時,收到情資的當事者,就應該保持合理懷疑,並透過不同管道和方式,來驗證資安情資的正確性,以及資安事件是否會發生。

臺灣安永諮詢服務總經理張騰龍表示,目前資安威脅有幾種,包括駭客活動、暗網、國家型組織APT等,如何信任組織提供的資安資訊,就必須和防疫一樣,要有一套確認情資的方法和查核機制,而一套好的資訊分享流程,除了要制定相關的SOP(標準作業程序)外,最好也能夠針對處理方針提供人為和法律支援,更重要的是,內部更要有判斷資訊正確性的專業能力,才能夠不被迷惑。

他也以疫情R0值(傳播率)為例,政府防疫透過許多居家檢疫、居家隔離、戴口罩和維持社交距離等方式來降低R0值,但是,許多資安事件一旦爆發,傳播速度可能是一秒瞬間,會比武漢肺炎疫情的傳播速度更快,而且,受駭企業能夠即時反應的時間更短,對整體經濟社會生活帶來的影響,也可能更重大。

 更多相關報導  從防疫學防駭

熱門新聞

Advertisement