武漢肺炎持續在全球擴散,在臺灣的防疫期間,勤洗手、戴口罩與保持社交距離,就是我們最常聽到的宣導口號,簡單來說,就是要我們做好基本衛生習慣,降低自己被感染的風險。
在資安宣導上,我們常常也會聽到類似的概念,例如,公司或組織要大家定期更新系統更新檔及病毒碼,發現可疑信件就不要開啟,不隨便開啟附件檔與網址,以及啟用雙因素驗證等,這些小小的舉動,雖然很瑣碎,但其實,也都有助於降低被電腦病毒感染,或是被駭客入侵的風險。
強化企業資安衛生習慣有方法
關於這類從使用者著手的資安衛生習慣,其實,近年也有人在談論這個議題──資安衛生習慣(Cyber Hygiene),強調在既有的資安管理上,採取更主動的防衛措施,以預防可能遭受的各種威脅事件,而且,現在國際間已有從法規面來著手推動的實例。
對此,勤業眾信風險諮詢服務執行副總經理林彥良指出,近年美國與新加坡政府其實都有資安衛生習慣的規定,例如,新加坡金融管理局(MAS)就是可以參考的實例。
簡單來說,該單位在2019年8月6日發布資安衛生通函(Notice on Cyber Hygiene),透過法令來推動,當中具有6大重點,包含針對帳號的管理、定期安裝修補程式、安全標準、網路邊界防禦,以及惡意軟體防護與多因子認證。其實,這些都是基本的安全概念,不過林彥良特別指出,在這樣的機制下,會讓企業相關做法變成內部控制的一環,而不是僅以資安管理看待。
除此之外,國際上一些較著重實務面的資安框架,也可以說是做好資安衛生習慣的參考指引,包括:澳洲網路安全中心(ACSC)的Essential Eight,以及美國非營利組織網路安全中心(CIS),發展出的CIS Critical Security Controls(CSC),基本上,這些資安框架在iThome之前的報導也介紹過,都可看做企業在規畫資安衛生習慣時的建議。
對此,勤業眾信風險資訊服務協理陳威棋說明,企業只要做好Essential Eight的8項安全控制措施,將能減緩85%的網路攻擊威脅。
戴夫寇爾執行長兼共同創辦人翁浩正也提到,可以參考CIS Control的一連串控制措施,像是最基本的第1到6項,就可視為資安衛生習慣,可以奠定良好、強健的整體防禦根基。
但要提醒的是,資安衛生習慣的基本觀念要先形成,這可能需要時間,不是現在開始做,就會馬上立竿見影,快速看到成效。
需透過資安規定來落實,以及持續進行
資安衛生習慣將是防護根本之道,BSI臺灣總經理蒲樹盛表示,這次全民都有防疫概念,政府從早到晚的每日防疫短片,宣導勤洗手、戴口罩等衛生習慣,就是教導民眾容易做到的方法。 (攝影/洪政偉) |
再從這次臺灣防疫的經驗來看,全民之所以都能對於防疫措施很有概念,積極配合,主要原因之一是:政府在衛生習慣的持續教育宣導,而最終的效果也顯著。
例如,電視上從早到晚播放著防疫小短片,政府也召開每日記者會持續宣導,大家看久了、聽久了,也就知道該怎麼做,而且,一旦養成勤洗手、戴口罩這些衛生習慣,不僅可大幅減少病毒與細菌傳播,也是民眾最容易做到的動作。因為口罩可以阻隔病毒的飛沫傳染的途徑,勤洗手則是能避免接觸傳染。
對於這樣的持續教育,以及防止傳播途徑,BSI臺灣總經理蒲樹盛表示,這是防疫上很成功的經驗,企業在進行資安防護時也是如此,可以依照組織資安規定來進行,如果有人不遵守,那關鍵就是在規定要能落實。
蒲樹盛並提醒,企業在內部資安教育上,同樣要有不斷的宣導、教育與演練,而且,他提醒,普遍企業可能實施範圍不夠全面,但是,資安防護並非只有資安團隊的責任,而是全公司同仁都要做到的分內工作,就像這次全民防疫一樣,大家都要遵守,才能擋得住疫情。
換言之,企業除了要落實資安管理,資安意識的教育訓練也是輔助執行的一種方法。例如,企業採取上課、考試的方式,來教導員工郵件安全、帳密安全、電腦安全,以及資料外洩保護等資安觀念,以及利用舉行社交工程演練的方式,寄送釣魚測試信,促使員工對釣魚信能有更高警覺性。
關於這些作法,大家可能已經知道,認為是老生常談,然而,要定期且持續進行,才是真正的關鍵,就像這次防疫一樣,要持續宣導不能鬆懈。
畢竟,人往往生病了,才會重視身體健康和個人衛生,但平時應該就要保持良好習慣,而資安衛生習慣的概念,同樣是需要持續進行的事。
至於全民防疫,主要也是因為這件事與每個人切身相關,因此民眾配合度高,能夠配合政策來做好防疫,但論及全公司都要做好資安,企業員工可能因為不涉及人身安全,因此在資安教育宣導上,必須更要採取正面積極的方式,讓大家能認同這件事,因為,每個人都可能是企業的破口,而導致受害。
衛生習慣教育不分年紀,但資安習慣教育仍需多多努力
無論如何,從這次臺灣成功的防疫經驗來看,如果大眾對於資安的態度,能提升到與防疫的態度一樣水準,這將讓我們在資安即國安的政策施行成效上,更具說服力。
關於防疫與防駭,兩者本身就有很多原理相同,像是病毒(Virus)這兩個字,就是從生物學而來。對此,衛生福利部資訊處處長龐一鳴表示,他對此很有感概,因為他本身就是公共衛生背景出身。
在龐一鳴的經驗中,他用預防醫學中的三段預防概念,來說明資安防護的觀念。這裡指的三段預防,分別是初期預防、次級預防,以及三級預防,這與資安領域所談的預防概念看似不同,不過,兩者仍有共通之處。
他說,初期預防著重的是預防生病,生病之後是次級預防(變重症),而重症則是三級預防(死亡),這其實與資安防護的作法有異曲同工之妙,因為我們同樣會區分成事前、事中與事後,與三段預防相比,相當一致。
對於資安衛生習慣的議題,龐一鳴特別點出一個令人需要關注的問題。他說,香港小學生在學校會習得資安的知識,反觀臺灣呢?為何我們的資安沒能從小開始教育?
確實,對於衛生習慣養成這件事,大家應該都不陌生,畢竟這是老師、家長從我們年幼時就在教導的觀念,或是說現代大家都該有的基本認知。也就是說,關於衛生習慣的教育宣導,其實並不分年齡對象。
儘管近年來,臺灣在校園上的資安人才培育,在高中、大學都有一些課程與活動,但這些是為了培養更多資安專家及從業人員,而在各學齡層的資安衛生習慣宣導,卻未受到長足重視,呈現很大的落差。
單就國小學童來看,過去我們常看到電腦課的內容,包括資訊素養與網路倫理,隨著時代演進,甚至現在國小生就要開始學AI了,但基本的資安衛生習慣養成,卻似乎沒有從小開始扎根,包括智慧財產權的認識,如何安全使用網路、隱私資料保護,以及如何在網路上保護自己等。這樣的問題,值得政府與學校去思考與重視。
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19