萬弘資訊顧問周世洪

最大風險說明與實務經驗分享(資安顧問觀點)

在說明何謂最大風險之前,先談談為何要使風險有大小之分呢??當我們從事任何不同活動時,往往都伴隨著些許風險,這些風險可能嚴重也可能輕微。
例如:開車上高速公路,可能會面臨的風險:輪胎爆胎、或是擦撞或是車禍;當我們出國旅遊時有可能發生物品遭竊、錢帶不夠、或是飛機起降時間不精準,抑或是天候問題等等。

由於太多的狀況需要被考慮,或許不是每一項都必然要投入精神、資源來作一個完善的準備。但面臨大多數的風險只要有所準備,基本上都是可以避免掉,至於小風險、影響不深的狀況我們都可選擇接受的。因此最需要關注的項目為 「最大風險」。
簡單描述最大風險的幾個特徵:

1、風險不經意的就會發生,且影響與衝擊範圍很大。


所謂不經意發生若以資訊安全人為角度來看的話,當一個人不須要使用特別的軟體、硬體、或是複雜的技術,甚至也不需要具備太多電腦專業的知識,就能夠造成一定的衝擊或是影響,您說這個風險大不大?
以2013年的某新聞為例:有人上網去繳個水、電費,卻不小心可以看到許多其它民眾的繳費個人資料,此一無心的行為造成媒體大幅報導也轟動多個社群網站,對機構聲譽就有很大的衝擊(甚至可能會有財務損失、生命安全疑慮),而不單單只是影響該公司某部門的員工。


2、不清楚手上保有的資產。


以實務上來講,大多數過去接洽的客戶最常發生的是這種狀況。因為不清楚自己保有什麼資產,自然不會去想到該資產現有什麼風險。以國內個人資料保護法已開始施行來說明,如果您不知道自己手上保有什麼個人資料,怎麼去思考該資料風險呢??又或是因為盤點過程繁鎖,就馬馬虎虎虛應一下,無形之中就會成為您的最大風險。現今網路的發達與電子化的普遍是眾所皆知之事,網際網路不當揭露個人的資訊,可能會造成法律上的問題也易成為詐騙集團利用的工具。
再舉一個生活的例子來說明:
假設我出境過海關前都不知我的手提行李裝了刀械,又怎會會思考到帶違禁品被攔下的問題呢?


3、過於自信


實務面來講,由於已幫客戶處理了不少資料外洩的案件,所以有幾次遇到的狀況是當事者認為所作的保護已非常完善,無法接受自己的盲點與旁觀者的建議,也不願進行後續的處理。實際案例如下:客戶接獲通報個資外洩的狀況後,立即否認到底,說明該組織已購置XX偵測設備並於1天前掃描過、再加上業務流程上完全不會持有「個人資料」,所以絕不會有此類事件的發生。最後,此事件還是証明了當局者迷,旁觀者清。由於當事人於此事件過於武斷與不接受建議,也間接造成風險持續時間增加。