歷史日復一日的上演，別讓自己成為下一個資安問題受害者

近幾年各國資安問題不斷地爆發，加深了大家的重視，最明顯的例子就是SSL憑證加密技術被大量引進，各大系統商(如Google、Firefox和APPLE等等)也在2016年底陸續宣布將會強化https網站在瀏覽器裡的地位以及明確標示出不安全的網站。但這樣真的就夠了嗎?

現任的美國聯邦調查局(FBI)局長James Comey曾說過：「世界上的企業分為兩種，一種是被駭客入侵過的；另一種則是被入侵卻不知道的。」

 

“世界上的企業分為兩種，一種是被駭客入侵過的；另一種則是被入侵卻不知道的。”

 

根據過去的經驗，超過90%的駭客都是由「端點裝置」發起攻擊，我們能做的第一件事就是好好檢視自己使用的主機系統是否安全，安裝SSL憑證確實是一個經濟實惠又方便的做法，但更重要的是我們(公司)使用的系統是否能跟上時代的演進，作業系統每過一段時間就會更新以提供更強大的功能，同時也是為了防禦日益精進的攻擊技術。

 

“孫子兵法有云：「勿恃敵之不來，恃吾有以待之。」”

 

實務上的經驗告訴我們，其實企業主們並不是完全不了解資安防護的重要性，但更新系統所需要花費的成本考量是非常實際的議題，大多數人會將就著使用舊系統，這完全考驗著MIS人員的功力還有自己平時燒香做好事累積的福氣，我們的建議是「至少將系統更新到2003年(含)以後的版本，因為現行主流的加密演算法為SHA 256，並且只有2003年以後的伺服器才能支援，舊型的伺服器所使用的SHA 1演算法已經被證實為可輕易破解的，故自2016年以後，SHA 1的加密方式已經被全面捨棄。

 

“從基本開始，不必花大錢也能做好資安”

 

比起撒出大量銀彈購買資安軟體甚至聘僱資安團隊，其實「改善內部作業流程」才是最基本必須注意的，很多時候都是公司便宜行事或是沒有依照既定的SOP來作業，才導致個資輕易外流，最常見的是將客戶資料大喇喇地擺在桌上，或是在銷毀客戶資料時不確實，例如直接丟進資源回收桶裡，公司內部一定要嚴格要求並提供專業教育訓練，只是一味地砸大錢卻讓隱私資訊從這些小地方外洩，豈不是本末倒置嗎?談完制度面的問題，回到系統面就是很現實的考量了，我們還是建議撥出一些經費，至少讓系統升級到2003年以後的版本，才能支援現行的基本防禦技術，畢竟現在都2017了，不是嗎?