2014年4月23日 星期三

資安人的前途

最近請了丹尼斯大,明雄,fufu提供了一些台灣的資安狀況

據說birdman 曾說,台灣是一個充滿駭客可利用資源的地方。

我覺得我有必要去做出ㄧ些回應。

其實政府要做一些事不難,但是資安的問題可以從幾個地方來看:

1. 中小企業可能不具有足夠的資源

舉我以前曾經看過 Basel 2 導入的過程來說,那時候我的老闆,跟我說一般做 Basel 2 有幾個情況:First Tier 的銀行,在法規要推出就開始準備了,但是後來有一些二三流的銀行,就是等著賴說等到要上路就說我不會做,看政府你怎麼辦?

其實 Basel 2 的推動後來就推一半,後來類似的還有 IFRS,就是推一半。不過銀行基本上我國的金管會的管理是嚴格的,因此你要說銀行的資安,我覺得我國大部分是做得好的。其實這就很明顯地出了一個問題:大家都罵金管會管太嚴使我國喪失競爭力。

後來我推電子發票的時候,有訂過給電子發票處理的安全規範,其實如果是我訂,一定是訂到大家都沒辦法對我訂的內容有太多挑剔,但是因為檢查要錢,所以最後相關單位因為檢測費用被 K 的很慘,其實要是我的話,我就會覺得說你就放出去以後用抽查的。反正抽查就是你有多少資源做多少事。不過後來還是不了了之

平心而論,我的確對ㄧ些中小企業抱屈,畢竟它們也沒賺多少錢,要做那麼多事,其實重點應該要回歸到風險,看你的交易量有多少,衝擊可能越大的越嚴格。只是這個 Threshold 很難訂。

我是覺得說,台灣以中小企業為主的經營型態一定要改,因為你企業小沒經濟規模,而通常第一優先砍掉的就是資安。

2. 技術人力的薪水沒有比非技術人力高多少

尤其是公家單位,同樣一個職等你技術底的和非技術底的拿的錢都差不多,那你要做每天固定的工作還是要一直不斷的鑽研問題。所以到最後,高階主管的 View 可能不夠,中階主管的能力不夠,基層人員一下就要上戰場,然後做一做就想委外或是轉非技術

 3. 中間有太多攔路虎

其實資安業務委外是我覺得很詭異的一個事情,很多時候,我一直搞不太懂,一個東西你幹啥不直接分錢下去,要經過一堆公協會,然後他們吃了一手之後,再把工作丟給技術好的人做。不過這或許和資安服務的品質還沒有很明確有關。

4. 資安事件的罰則太低

這或許和我國民法判罰的金額都不高有關,其實的確,如果事件發生就照舉證的金額去罰就好,但是我看國外的律師影集,動不動就是判賠好多錢。因此國外常有傳說說醫生即便手術沒出錯,但是如果和解金額是保險可以 cover,會要求那個醫生和解,而你如果不和解,可能醫院會把你 fire,或是如果你是醫院主管以後保險公司就不跟你保險。

如果今天有幾個罰很重的案例,那就沒關係,但是偏偏沒有。所以很多人就在那邊看。

5. 民眾不會唾棄資安做不好的廠商

民眾會唾棄食安出問題的廠商,但是不會唾棄資安出問題的廠商,不過這或許和媒體本身也有資訊服務,那些媒體怕炒一炒最後自己出事。

6. 資安發展比較沒有持續性經費

基本上,學研單位做資安都是要拿國科會或科技部的預算,但是那邊給錢基本上你每次都要做新的東西,所以到最後的結果通常是研究出 prototype 有錢,但後續你沒有去接案子把他商品化就沒錢。建置有錢,維護就沒錢。這就是暗示如果有想要持續把東西做好的計畫主人自己要去外面開公司或是賺錢。這又牽涉到另外一個問題,教授如果很會做生意那怎麼還會去當教授呢?最後的結果就是這樣。

那麼,往海外發展呢?我會覺得資安產品比較有機會,因為資安產品比較可以有一個檢驗標準,但是服務的話,現在台灣正夯的是中共來做資訊服務業的國安問題,那你去別的國家提供資安服務,別的國家不會擔心嗎?

基本上,我要提一下建議的解決方案,如果只談說政府要給錢就太遜了,畢竟政府也沒錢:

1. 政府單位的資訊部門可以更進一步整合,目前已經做了不少,但是基本上電子郵件的掃瞄或過濾可以先做,然後貫徹實體隔離,不過比較麻煩的是外館或是有對外提供服務的地方。

2. 優秀的年輕人如丹尼斯大,應該要領著他的後宮,去發展一個供家戶使用得資安 solution,我覺得,如果有一個類似 netlimit 的東西改善ㄧ些介面,要求裝 P2P 軟體的都要裝那個,就可以讓一般家戶即便裝了有後門的軟體,也可以把他擋掉。

3. 對於企業來說,尤其是電商,要發起拒用的活動。不過這點帥氣的 Allan Own 已經有做,但是看來沒用。

4. 政府要求尤其是經濟部,找一票人專門對企業做檢測,然後為了避免與民爭利,做的時候就和民間一起做,將做出來的結果差異作為選商或是該單位績效考核的標準。

整體來說,我個人覺得要很快改善ㄧ些沒那麼難,但是要徹底改變?除非民間企業自己花大錢,以我國法官罰款都很少,而且很少看到逞罰性罰款,這點有些難就是了。

其實今天我另外有想到,該怎麼樣讓年輕人有意願去從事資安:其實最近ㄧ些駭客年會的帥哥像是丹尼斯大和 Allan Own,常給人駭客就是多金妹又多,這其實是好現象,就是要有一些標竿性人物,在前面當胡蘿波去釣魚。但是把人家騙進來其實又不給人家好前途 .... 有點心虛就是了。






張貼者:
標籤:

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)