萬物聯網如何不被駭!?

在萬物聯網的當下,全球企業與個人一邊享受科技帶來的便利,一邊也要承受隨時可能被惡意軟體、病毒、駭客攻擊的風險。然而,資安風險真的有這麼嚴重嗎?
今年初,世界經濟論壇(World Economic Forum, WEF)提出的《2019年全球風險報告》(Global Risks Report 2019)中,資安威脅的發生率已躍居全球風險前5位。
這份報告同時指出,日新月異的網路與技術的威脅是當前最重大的潛在盲點,更值得繃緊神經的是,專家們認為,我們仍未充分認識到網路化社會帶來的漏洞。
既然無法光靠人來抵擋這些網路威脅,是否能運用人工智慧(Artificial Intelligence, AI)來打造防禦金鐘罩,用機器來反制呢?台灣二版高級產品經理盧惠光笑說,現在連煮飯的電鍋都用AI,需要大量過濾資料的資安也升級為「智能資安」,運用AI、機器學習技術進行預防、偵測,可節省許多人力及提早發現異常。

找AI豎起快篩關卡
盧惠光指出,「雖然使用者行為難以預測,但透過機器學習,AI可進行使用者行為監控及分析,判斷這些網路行為是使用者正常行為,還是異常程序透過上網行為將資料傳輸出去;雖然資安人員可以快速檢視,但確認幾百萬筆資料還是需要時間,AI能協助快速抓出可疑資料,再經由人為判斷,以快速反應解除危機。」
對於智能資安發展,盧惠光則認為,「目前機器學習無法取代人,且需要仰賴人提供資料,建立學習模組及最後交由人為判斷,將來AI若進展到深度學習(Deep Learning),如同下棋的AlphaGo一樣,那就相當強大,可以自主學習,也能主動發現公司設定漏洞、主動修復,若遇攻擊也會自動反應處理,到時甚至可能取代大部分人的工作。」
他也提醒,當資安對決演變成與駭客間的AI大戰時,除了不停開發新技術、查遺補缺以外,「站在防守角度,面對駭客不是技術問題,是人的行為問題,人的行為有太多漏洞讓駭客得以入侵。」投入資安領域超過15年,盧惠光看到的是,目前台灣企業對資安意識呈現M型化的兩極發展,「重視資安的企業沒那麼容易被駭,但同時也很多企業忽視資安,這也是為什麼就整體社會來看駭客會贏的原因。」

抗駭戰要有組織、制度
也就是說,想打造資安防護力,企業組織要先打造出看重資安的整體氛圍,才有機會多加一層保障,而想形塑組織的整體認知,絕非只是辦幾場教育訓練就能成功。台北市立聯合醫院資安長許世欣表示,得先從建立獨立組織開始。他認為專責單位與明確的組織制度有其必要性,並以聯合醫院設立資通安全管理中心的過程舉例說明,「這是管理層的眼界,資安工作範圍涉及全院,角色位階如果不對就很難統合。」
除了資通安全管理委員會、資通安全諮詢小組,為因應資安工作的突發性,許世欣統合資安全管理中心與執行管理單位成立3個機動小組。一是當資安事件發生時,迅速反應、處理的「緊急應變小組」;而「情資因應小組」負責妥善處理資安情報、病毒攻擊或系統漏洞消息,「過去情資來了,大家可能會確認沒事就過了,但現在情資來了就需立案、記錄,這樣做也是方便將來外部查核。」最後一個「稽核小組」則是因應系統需接受第三方認證而設立。
在完善的組織、架構支援下,今年3、4月許世欣搭起與各OT部門溝通的橋樑,營造OT相關的資安意識,「現在大家敏銳度提高,有事情也知道可以問誰,這是一種氛圍。」舉例來說,他曾接到一個醫療OT部門的案子,某儀器商希望能拉一條專線接到醫院系統,如果設備出問題可遠端馬上排除,拉專線的費用也由廠商負責,「聽起來是不是很美好?」許世欣笑著問。
最後這個提案被否決了。他解釋,「派人到現場維修可能要等2∼4小時,線上處理也許只要5∼10分鐘,對使用者來說聽起來很好。但若從資安考量,這條線接到醫院系統上,醫院怎麼知道廠商何時進系統?進系統是蒐集設備資訊還是病患資訊?這是把醫院曝露在風險下!」許世欣強調,處理這些問題都要很小心,「有時美其名是服務,但實際上對方做了什麼你可能都不清楚。」

2019是OT的主場年
針對企業總是一窩蜂的把資安與IT設備畫上等號,IBM也認同OT是必須特別留意處,在提供資安防護解決方案服務部分,今年更將科技製造業的OT資安防護列為首要目標。IBM資訊安全部門全球威脅情報防禦產品協理謝明君舉例說明,「像製藥業通常是連續製程,一站接一站沒有回頭路,當一批貨走錯路,可能讓藥品遭到污染。幸運的話在品管階段就報廢掉,但也有可能最後流到市面上,演變成藥物安全問題。再看電池製造業,一旦生產線上有問題沒被偵測到,生產的電池可能反應不靈敏、壽命短,甚至會有爆炸問題。」
無論資安事件的起因是透過專線感染,或機台定期維修時的軟體更新失控,即使只是一個尚未造成嚴重損失的威脅,仍可能因為資料在生產網絡中、甚至供應鏈廠商間不斷交換,傳遞錯誤的情報,最後導致企業做出失敗的決策。
因此謝明君認為,「資安風險就是商業風險。」有些老闆的心態是交給IT或資安長就搞定,但資安認知與防護不能只靠少部分人努力,而是全組織的共同任務。像資安政策往往會包含員工與各級單位要遵守的許多規範,如果組織成員有便宜行事的態度就容易讓企業的防線破功;要做資安也會有添購軟硬體等需求,唯有不同單位,例如:營運、財務等不同單位都認同資安的重要與必要,願意全力給予資安單位或專案支持,企業對外的抵禦力才有機會變得健全。當企業處於資安專業人才暫時不足的轉換期,也可以藉由IBM的服務或顧問團隊,從分析公司營運特性著手,先一步建構客製化資安防護解決方案。
今年9月,風險管理公司Marsh與微軟共同發表了《2019全球網路風險感知調查》(2019 Global Cyber Risk Perception Survey),有意思的是,有47%的企業購買了資安相關的保單。然而,「只要有買保險,就肯定不會出包」的傳說有可能應驗嗎?面對資安的新趨勢與風險,企業、個人,甚至政府又該怎麼推動,才能拉開網路上我們與「惡」的距離?更多精彩報導,請看本期《能力雜誌》。

【完整內容請見《能力雜誌》2019年10月號,非經同意不得轉載、刊登】