看到日前數位發展部針對蝦皮跟誠品的資安問題處理,感到不可思議,僅有罰錢了事,卻沒有針對內部細節去做整體的改善建議或執行,而且針對過去更嚴重的如博客來、irent、華航等重大企業的個資外洩,幾乎悄然聲息,這一次還是因為涉及到『中國因素』,經由特定政治團體炒作,數位發展部才做做樣子,但是對於問題根本沒有解決之道。
再加上讓很多人非議的是,之前政府發生將我們的健保資料、戶政資料外洩到對岸,可是我們的政府卻充耳不聞,遇到問題就裝傻,國家重要的資訊都是這樣的處理態度,那要怎麼要求企業遵守規範?
這種只許州官放火不許百姓點燈的雙標處理行為,都讓數位發展部的聲譽掃地,而政府近年來提及的數位轉型,資安防護,在我們業界看來也是笑話一則,都是外包不透明消化預算、浮報高於業界的基本行情價數倍,只要是從業人員看到,莫不感到憤怒。
舉例來說當初在建置防疫、發放各種振興券的軟硬體,實際上都非常不合理,明明可以三千萬解決的伺服器架設,預算可以變成好幾億,而且還透過限制性招標特定廠商,問題很大。
資安防護的精髓在於無時無刻的測試,找出漏洞,最害怕的是一成不變的防火牆配置,但對於台灣來說,現階段的問題在於大型企業無一制性的資安協同協作,互相測試找漏洞的機會,而中小型企業也無力負擔建置資安的成本,使得多數企業不知資安為何物。筆者建議政府單位應該是要擔任友善橋樑,負責規劃整體資安戰略,使企業與企業、企業與公部門獲取相對應的資源去發展資安。
想起之前數位發展部抓資安漏洞的方式,竟然是去實地檢查大家的密碼小紙條,如果要這樣,那為啥還需要花大錢成立資安部門,請專業的人士呢?
現在我們最大的疑問在於,真的有需要花這麼多錢,編列預算,找很多尸位素餐的人嗎?而且綜觀現在數位發展部的配置,幾乎都是在養非專業人士,這樣的預算編列大有問題。
這一次看到誠品回應已經投入新型態的防護,而且近年來為了發展電商通路,確實在業界耳聞這兩年誠品開始投入很多資源發展資安,遵守NIST網路安全框架(Cybersecurity Framework,CSF)準則,實屬少數企業典範,因為更多的企業是直接擺爛的鴕鳥心態,資安問題如何解,首先就是要改善外行領導內行、資源錯置的問題。
*作者為資安業者