電子發票、YouBike輪流出包,「討好」心態竟成資安大破口
文●何佩珊
從各大知名企業用戶個資外洩事件頻傳,到近期財政部電子發票整合服務平台,竟被發現有逾百家上市櫃企業沿用系統預設密碼,營業資料恐被看光光。
這些使用者在成為受害者的同時,也成了政府、企業的資安破口。背後一個共通的問題恐怕是出在「討好」。
一名有10多年資歷的企業資安人員如此為財政部資安事件下註解。他認為更深層的根本原因是:不想得罪使用者。所謂不想得罪,一是怕客戶因各種資安要求而棄用;二則是因為複雜度提升,可能招致大量客訴。
大家都知道,如果在密碼登入機制之外,增加綁定手機等裝置,可以進一步提升安全,但如果要強制用戶完成裝置綁定才能使用,對某些用戶,可能是不易跨越的門檻。一家百萬用戶App公司前IT主管就曾經遇過,在他們強化使用者登入機制之後,客服投訴案立刻爆量。
資安系統設計,多不符人性
若密碼複雜度高,不好記憶,於是一個荒謬的現象就發生了:「有人把密碼寫在紙上、貼在筆電上。」
另一種情況是,當一個人,在10個網站都被要求設定複雜密碼時,基於方便,可能會在10個系統都設定同一組密碼。這代表駭客只要在其中一個資安防護較弱的網站取得一組帳號、密碼,就可以輕易突破其他高資安防護的系統。
KPMG安侯數位智能風險顧問公司董事總經理謝昀澤認為「密碼不能解決所有問題」已經是必須要有的基本認知。
而且對人性的考驗也不只發生在帳號、密碼上。一名科技公司資訊長指出,透過釣魚郵件等利用情境、話術誘使對方交出資訊的社交工程,是現今常見手法。他們就曾試過,在發薪日寄出一封「薪水無法入帳」的測試釣魚郵件,即使許多跡象可以判斷出這封信有問題,全公司卻還是有超過10%的員工上當。
換言之,不論是政府單位還是企業,就算拉高資安預算,導入更強大的防護系統,一旦輕忽「人」這個關鍵環節,都可能功虧一簣。
提升意識,考驗主事者心態
至於解方,也不是沒有。首要還是提升資安意識。
另一方面,他認為要在資安防護與人性之間取得平衡,也非做不到,但關鍵在於主事者心態。
像台積電為了保護營業機密,除了數位面的資安系統,也在廠區內使用內含金屬的列印紙,做物理面防護,確保一旦有資料被攜出,就會被金屬探測門感應。這樣的設計強化了安全性,也對使用者的影響降至最低。
但如果認為做資安不會創造營收,又或是認為使用者造成的資安事件,責任在使用者身上,就可能將體驗設計的優先排序往後擺。
然而最終必須要面對的是,一旦發生了資安事件,包括商譽在內所要承受的損失,是否值得?
資安問題看似是複雜的科技問題,但其實最終的答案,還是得回到人身上。