機會與風險的抉擇

身處商業競爭領域，趨吉避凶是絕大多數人的選擇，大家無不渴求能擁有最多、最大的機會，卻又期盼盡量不要遭遇風險，若無法躲避，總希望能安然度過。就實際的狀況而言，我們可能更常感受到這其實是一體兩面，於是有「危機就是轉機」、「富貴險中求」這類說法。

根據Simplicable Guide網站的解釋，機會是未來會有所得的潛在可能性，風險是未來會有損失的潛在可能性，因此，在決策制定、策略形成、管理等層面，均扮演重要角色。

隨著COVID-19疫情趨緩，雖然烏克蘭戰爭、臺海危機、全球通膨等多種不利市場的因素，仍籠罩在前，但經過這三年來的緊縮與壓抑，早已擋不住亟欲外出探險的情緒，期盼大展長才，而2022年下半以來，也陸續出現員工出走、企業裁員等狀況，雖然令人擔心失業率大增、經濟下滑，相對地，也有可能帶動創業潮，為產業增添新的可能性。

無論是企業推動數位轉型，或是自己找一群志同道合之士創業，都是希望能以各種創新手段，來獲取更多商機，然而，大家可能最擔心的還是失敗的風險，於是，這需要有強大的高層支持，以及說服足夠的金主作為靠山，才能在嘗試各種作法的過程當中，找到符合理想目標、市場價值，以及最適合本身發展的產品與服務。

關於創業、商機這方面的話題，有很多專家可提供建議，負責推動的人也有其特殊性，相較之下，風險管理則是所有人都會面臨到的功課，不論是守成或開拓，我們總是身處在一個多變的環境，若缺乏這樣的概念而貿然行事，有很大的機率會得不償失，與其到時候怨天怨地怨自己，不如自己設法學會管理風險。

然而，想要做好風險管理，首先要認識風險。以資安領域而言，若是iThome資安日報長期讀者，可能會發現惡意軟體、駭客所能滲透的部分，經常超乎大家想像，攻擊手法不斷推陳出新之餘，也會彼此爭相模仿、合作，而且，任何疏於管控、防範的單一或多個環節，都有可能成為阿奇里斯之腱。

就以1月30日網路共享汽車業者iRent傳出資料外洩疑雲為例，根據國外科技媒體TechCrunch的報導，因為他們所用的資料庫系統並未啟用密碼保護，再加上這系統使用固定的公共IP位址，因此，只要透過網路掃描，找出位於網際網路且使用特定通訊埠或通訊協定的資料庫系統，就可能得知IP位址，再加上並未搭配密碼驗證存取方式，使得這個資料庫形同在網際網路「裸奔」，他人可存取裡面儲存的客戶資料。

而稍早農曆春節期間，永豐銀行信用卡傳出24位客戶盜刷事故，6日內進行76筆交易，交易金額約110萬元，經初步調查，原因可能是進行3D驗證程序時，動態密碼同時寄送至客戶手機與電子郵件信箱，而歹徒可能是從電子郵件當中擷取動態密碼，而這些客戶被盜刷的交易均是在國外網路商店購買遊戲點數，而且是分散在三十多家商店，信用卡究竟如何被盜用，仍需要進一步釐清。

以上述兩個例子而言，一個是相對年輕的公司，隸屬於汽車廠商集團，另一個是成立超過30年，且屬於法規高度監管的金融業，他們都在努力提供更為便捷的服務，追求利益的最大化，為此而使用IT技術或安全性強度較高的身分驗證，這沒有錯，然而，我們都知道機會稍縱即逝、要及時把握，卻可能忘了風險態勢本身也是持續轉變的，過去從沒發生過重大問題的系統組態，隨著網路環境、服務型態、系統與資料存取方式的種種變遷，而導致各種危害資安的條件逐漸成立，但負責後續維運的人員可能並沒有重新檢視這些狀況，最終被有心人士發現可乘之機，釀成大禍。

因此，或許我們可以這麼說：防守端如果沒做好風險管理，未及早補救缺失，其實就是在幫攻擊者製造有利可圖的機會。而這樣純屬人為造成的狀況，真的是大家完全無法考量到嗎？不為也，非不能也。若以此看待其他足以影響全球的重大事故，也是類似的，諸如劇烈氣候變遷、區域戰爭，大多都是人類的活動所造成的，要緩解這些災患、避免其惡化，需要大家的重視與投入實際行動，而且，能否改善已關乎全人類的利益，甚至是未來能否繼續生存的重大關鍵。