在往年臺灣資安大會的所有活動當中,不只是揭露當前需注意的各種外部威脅態勢,同時,也提醒大家注意內部威脅(Insider Threat),而這樣的思考也牽涉到近期經常被提及的零信任(Zero Trust),簡而言之,也就是「never Trust, always Verify」,或是「verify and never trust」。

該如何在IT環境實現零信任?我看到IS Decisions公司有篇部落格文章寫得滿好的,作者用了很生動的比喻來形容現實生活中的零信任,他寫道:我們需要建置稽核與政策遵循的控制,就如同把門鎖住;同時,也要進行驗證,就像在夜裡要聆聽是否有人在撞擊(門)。

而在施行上,作者建議大家要注意下列幾個要點,像是:管理使用者時就如同在管理無法信任的人、注意網路傳送的資料、把每件事都記錄下來、追蹤系統的變更,以及網路安全須趕上端點防護。

其實,零信任的原則,不只適用於資安,在其他場景也可看到很多現成的例子。

就像9月爆發中國製非醫用口罩混充臺灣實名制口罩,當全國民眾都對口罩國家隊的貢獻感到驕傲之際,結果卻出現有廠商進口大量中國製非醫用口罩,並將其混入政府徵用的口罩當中,幸虧新北市三重區有藥師舉報,他們發現收到的加利科技八里廠的實名制口罩當中,有一包附有安徽製等簡體字樣標籤,經新北市藥師公會通報食藥署,隨即進行查核,食藥署也在9月3日發布消息。

不過,政府目前徵用口罩作業是否已進行查驗?中央流行疫情指揮中心物資組組長蔡壽洤在記者會提出說明,他說:「徵用時已進行品管,要符合藥證許可條件,指揮中心也會定期抽驗……在入倉或上收之前,針對各個徵用廠商,不管使用熔噴布或其他原料,都有抽驗。」,「六月開始定額徵用前,都有抽驗,加利公司那時是合格的……加利公司在二到六月並沒有從大陸進口口罩,國家隊使用的熔噴布由經濟部統一管控,因此國家隊的口罩除了這批加利進口的大陸口罩以外,其餘都是合格的。」顯然,政府抽驗作法在7月後不同,產生可乘之機。

他也表示,「可能會提高抽查比例,讓品質達到百分之百安全。」「現在原則上是每個月抽查,這個頻率在研議中,至少會提高到相當高。不論是實質送驗還是產品外觀的檢查機制,我們一定會提高各種頻率來加強把關。」

從源頭管控、過程中檢核,我們呼籲廠商應該秉持職業道德與社會責任,否則賠上多年累積的商譽,得不償失,而政府也需要善盡監督的責任,為民眾權益把關,並且要嚴懲不法業者。而在末端經手的人員、最終拿到口罩的你我,能否察覺異狀,也相當重要,不能因為廠商、政府過去具有好的信譽,而採取鬆懈、隨便的態度。

事實上,口罩等防疫物資得之不易,臺灣嚴加防護之下疫情得以妥善控制的成績,也是全民努力配合、犧牲許多不便之後所獲得的共同成果,若要破壞這樣平穩的局面並不難,從業人員或許只是多一點點私心、輕忽,可能就會導致一些不可控的代價。

防疫如此,企業在內部作業的程序,以及與眾多廠商的合作過程也不例外,都要必須自我要求、提高警覺、主動通報。

就像許多資安專家在資安防護的策略提到的「知己知彼,百戰不殆」,這話不只是呼籲企業要對彼端外部威脅有所認識,也提醒企業要及早察覺此端的內部威脅。若要更簡要的一句話來表達這樣的防備概念,我認為,可能就是「防人之心不可無」這句話,往來廠商、合作對象、同事,甚至自己,都有可能是危安因子,請時時刻刻思考與觀察這樣的可能性,才能及早預防威脅與危機。

專欄作者

熱門新聞

Advertisement