被嚴重低估的人為失誤，已成資安危機

關於人與機器孰優孰劣，若是在聰明才智的部分，人應該還是勝過機器，然而，論及效率，恐怕是機器贏過人。類似這樣的討論，在這個大家熱烈關注人工智慧發展的當下，經常出現，從報章雜誌、網路媒體的報導裡面，我們越來越清楚機器能夠在更多層面提供輔助，若要仰賴人來完成所有工作，恐怕在時間和金錢上都划不來，因此，從過去工業革命的時代，到現今看重數位轉型的應用，如何以機器力來取代人力的可能性，持續受到探討。

然而，機器能否把事情做好、做對，在當前這個半自動應用當道的時代，「人」的因素仍然揮之不去，軟硬體的設計不良、使用者的操作不當，都會影響最終的成敗，因為「人」沒有提供或指出正確的執行方向，「人」考量得不夠周全，「人」會猶豫不決，「人」有不同的意圖、動機……這不免讓人想到今年的熱門關鍵字「假消息（misinformation）」，這是英語字典網站dictionary.com選出來的，一般人更常聽到與使用的是假新聞（fake news），或者是謠言，而當臺灣在經歷九合一大選之後，對於這種狀況的體認，又更深了一層，民眾普遍接收到大量似是而非的資訊，攻訐候選人、政黨、社群、宗教組織，以及支持這些人士或團體的民眾和名人。

而在IT應用的領域，尤其是資訊安全，因為「人」所導致的各種相關風險，至今居高不下。除了惡意軟體是由有心人士所開發、散播之外，企業、機構、組織能否妥善防備各式威脅，也與許多人的認知和行為有關，例如：使用者是否具備資安意識、應用程式開發者是否落實安全設計，以及高層主管與IT人員的存取特權，是否受到監督與稽核。

值得注意的是，最近這幾年以來，人為疏忽與錯誤的因素，開始受到各界重視，尤其是Misconfiguration（配置不當）這個詞彙頻頻出現在IT新聞版面。

以OWASP公布的網站應用程式十大弱點來看，2004年首度納入Insecure Configuration Management，2007年並未提及，到了2010年，Security Misconfiguration名列第六，2013年上升一名，2017年又降回第六名。

而在多家IT廠商的年度安全報告中，也屢屢提及Misconfiguration的狀況日益嚴重。以今年4月發布的IBM X-Force年度追蹤報告為例，2017年外洩的資料量當中，有將近70％起因於雲端基礎設施的不當設定，發生這類事件的比例是2016年的4倍，起因大多與人為疏忽有關。

另一家廠商Gemalto的資料外洩層級索引報告，也提及這個議題。他們表示，人為錯誤應視為主要的風險管理與安全議題，而代表性的重大事件則是，去年6月爆發的19億美國選民個資外洩案，起因是美國共和黨全國委員會（Republican National Committee）聘用的資料分析公司Deep Root Analytics，在AWS雲端服務使用的資料庫採用不當配置，並未設置適當的密碼保護，而使得2億民眾的個人資料暴露在外，而且時間長達兩週。

而回顧2018年，傳出雲端服務或伺服器配置不當的事件，仍是層出不窮。

例如，2月有Tesla、Fedex，以及巴黎品牌行銷公司Octoly，4月有紐約的診療中心Cohen Bergman Klepper Romano Mds PC；到了6月，資安公司揭露三千多支行動App，使用了配置不當的Firebase資料庫；7月，美國一家提供政治競選活動電話語音行銷服務的公司Robocent，因AWS儲存服務配置不當而外洩數十萬筆選民資料；9月，企業資料備份軟體供應商Veeam也出事了，因存放在AWS的MongoDB資料庫配置不當，而暴露客戶資料；11月底，發生因Elasticsearch伺服器配置不當，使得8千多萬名美國民眾資料曝光。

不論是假消息或配置不當，之所以發生這些問題，其實，都跟「人」有關，若想要消解這樣難以解決的亂象，可能必須採取更有效率的方法，防守方不能消極以對，或許應借助機器的力量，才得以撥亂反正。