電子發票、YouBike輪流出包,「討好」心態竟成資安大破口

YouBike是最新傳出遭駭的知名企業,目前該公司除報請檢調調查,也只能通知用戶可能接到詐騙電話。(攝影者.郭涵羚)
YouBike是最新傳出遭駭的知名企業,目前該公司除報請檢調調查,也只能通知用戶可能接到詐騙電話。(攝影者.郭涵羚)

文●何佩珊

從各大知名企業用戶個資外洩事件頻傳,到近期財政部電子發票整合服務平台,竟被發現有逾百家上市櫃企業沿用系統預設密碼,營業資料恐被看光光。

這些使用者在成為受害者的同時,也成了政府、企業的資安破口。背後一個共通的問題恐怕是出在「討好」。

一名有10多年資歷的企業資安人員如此為財政部資安事件下註解。他認為更深層的根本原因是:不想得罪使用者。所謂不想得罪,一是怕客戶因各種資安要求而棄用;二則是因為複雜度提升,可能招致大量客訴。

大家都知道,如果在密碼登入機制之外,增加綁定手機等裝置,可以進一步提升安全,但如果要強制用戶完成裝置綁定才能使用,對某些用戶,可能是不易跨越的門檻。一家百萬用戶App公司前IT主管就曾經遇過,在他們強化使用者登入機制之後,客服投訴案立刻爆量。

資安系統設計,多不符人性

若密碼複雜度高,不好記憶,於是一個荒謬的現象就發生了:「有人把密碼寫在紙上、貼在筆電上。」

另一種情況是,當一個人,在10個網站都被要求設定複雜密碼時,基於方便,可能會在10個系統都設定同一組密碼。這代表駭客只要在其中一個資安防護較弱的網站取得一組帳號、密碼,就可以輕易突破其他高資安防護的系統。

KPMG安侯數位智能風險顧問公司董事總經理謝昀澤認為「密碼不能解決所有問題」已經是必須要有的基本認知。

而且對人性的考驗也不只發生在帳號、密碼上。一名科技公司資訊長指出,透過釣魚郵件等利用情境、話術誘使對方交出資訊的社交工程,是現今常見手法。他們就曾試過,在發薪日寄出一封「薪水無法入帳」的測試釣魚郵件,即使許多跡象可以判斷出這封信有問題,全公司卻還是有超過10%的員工上當。

換言之,不論是政府單位還是企業,就算拉高資安預算,導入更強大的防護系統,一旦輕忽「人」這個關鍵環節,都可能功虧一簣。

提升意識,考驗主事者心態

至於解方,也不是沒有。首要還是提升資安意識。

另一方面,他認為要在資安防護與人性之間取得平衡,也非做不到,但關鍵在於主事者心態。

像台積電為了保護營業機密,除了數位面的資安系統,也在廠區內使用內含金屬的列印紙,做物理面防護,確保一旦有資料被攜出,就會被金屬探測門感應。這樣的設計強化了安全性,也對使用者的影響降至最低。

但如果認為做資安不會創造營收,又或是認為使用者造成的資安事件,責任在使用者身上,就可能將體驗設計的優先排序往後擺。

然而最終必須要面對的是,一旦發生了資安事件,包括商譽在內所要承受的損失,是否值得?

資安問題看似是複雜的科技問題,但其實最終的答案,還是得回到人身上。

※本文由商業周刊授權刊載,未經同意禁止轉載。

看更多商業周刊文章
新電力大富翁》他們不發電,卻大發電力財!巴菲特賣光台積電改買充電站,馬斯克儲電比賣車更好賺?
解決「充電App塞滿手機」困擾,裕隆拚環島充電大平台
馬克宏盛讚的台商,賠錢的輝能憑什麼1700億法國蓋廠
「颱風天你來不來?」面試官的靈魂拷問要怎麼回應
鮑爾一席話讓台股衝回萬六!選股邏輯該調整,投資大咖點名9類股

看更多相關新聞
890萬安卓手機出廠前感染「惡意病毒」安裝15App也遭殃
iPhone出現「新漏洞」恐遭到駭客入侵
YouBike遭駭!全國逾4萬會員個資外洩 高雄1490筆要求業者補償
「企業會員資料看光光」電子發票平台爆資安漏洞 財政部亡羊補牢
遭列個資外洩高風險名單!數位部擬5月底處分 蝦皮喊冤

【填問卷抽好禮】2023健康生活大調查

相關新聞影音