【大紀元2016年02月13日訊】(大紀元記者陳懿勝台灣台北報導)臉書創辦人祖克柏(Mark Zuckerberg)打算在全球推廣免費上網服務,並指出免費的網路連線已經是民眾天賦人權之一,因為民眾可以透過網路,上網找尋工作、教育、醫療與通訊,甚至可以藉此脫離貧困狀態,因此預計在2016年在全球100個國家推動Free Basics的免費上網服務。
面對免費連網服務,在2016年1月2日舉辦的總統辯論議題中,3黨總統候選人都認同,更要縮短數位落差,讓偏鄉、弱勢族群獲得公平教育機會。蔡英文就指出,網路是基本人權,資訊、數位能力更要成為國民基本素養,打造網路創新生態系;宋楚瑜則表示,除了免費上網外,網路保密安全也必須重視;朱立倫說,免費上網需要擴及到全國中低收入戶免費,台灣所有重要角落都有免費上網熱點。
不過當連網成為基本需求時,安全議題也隨之而來。以Taipei Free為例,使用者都必須先註冊申請相關連網服務,當有人濫用免費的網路資源時,有關單位就能找到濫用的人或者是被冒用的受駭者。
除此之外,現在許多行動裝置處理器的運算能力都很強,當行動裝置被駭客掌控時,就有機會成為發動DDoS(分散式阻斷式攻擊)的傀儡網路或攻擊跳板。因此,只要有連網,資訊安全將成為眾人必須重視的部分。
物聯網時代來臨 資安不可輕忽
「資訊安全已經變成等同於呼吸一樣的重要」,數位資安系統有限公司董事長蘇隄表示,現在已經是物聯網時代,過去很多產品或物件沒有跟網路連結,現在則是什麼都要跟網路結合,網路上的問題,已經變成實體生活上的問題。不過網路上資安問題並沒有做得很好,問題一堆,當與實體生活連結之後,會出現一連串難以想像的災害。
蘇隄舉例說,3、4年前,德國一家煉鋼廠的煉鐵高爐被駭客入侵並停機,沒辦法運作,使鐵水凝結不能再使用,造成幾億美金的損失。這些並非只是駭客入侵後,格式化硬碟,問題就截止了,而是一個屬於生命財產,甚至到國家級,或是全人類災害的問題。
蘇隄說,當連上物聯網之後,很多事情都用大數據、人工智慧來判斷,美國去年就發生駭客遠端入侵車子,可以停住煞車、能夠旋轉方向盤,若未來進入了車子全自動化的時代,將會是難以想像的危險。
蘇隄進一步指出,對駭客來說,企業擁有的技術,等同於是小孩對大人的角度,要防禦大人的攻擊,「小孩」怎麼有辦法應付,這是一個完全不對等的戰爭。對企業來說,企業手上工具不夠,情資不夠,敵手也不了解;駭客端來說,當要攻擊企業的時候,他已經做了各方面研究,甚至知道企業用的是什麼防毒軟體,在經過測試後,駭客就會把攻擊工具放進來。
蘇隄說,駭客對企業可說是瞭若指掌,又有非常高的技術,是專業等級,另一邊是業餘,還是矇著眼睛在打,企業要怎麼打這場不對等的戰爭,因此建議企業一定需要找尋專業的團隊給於支援,千萬不要單打獨鬥。
「站在資安的角度來看,想到物聯網,自己都會覺得害怕」,蘇隄說,物聯網的數據很大,難以估計,每一樣物聯網設備,必須有資安的防護機制,這是不可分割的部分。
蘇隄表示,過去的設備是封閉的體系,只要經過一道內部認證,就可以操縱所有的系統;但是現在設備都會連上網路,以利於遠端觀察與監控,因此,駭客只要突破防火牆就可以通過所有的信任機制,設備就會曝光在駭客的攻擊與控制之下。
蘇隄指出,就如同免費網路一樣,免費網路很便利,但便利的後面有一個安全的問題,政府立意良善,但是在這背後,有著資安的安全問題,建議政府的免費網路安全等級必須提高,這才是對人民的保護。
「未來家庭所有的設備都會連上網路,資安的層面一定會拉高,更應該要注意,不然就會發生隔壁的微波爐在攻擊家裡的電冰箱!」蘇隄說,在這個時代,思維必須改變。過去思考時,第一步想的是這個設備有什麼功能,可以做什麼事情;現在則是,這個設備有多安全,它可以提供多少的安全防護等級。◇
改變觀念 森 重憲推欺騙式資安防護
Macnica Networks事業戰略統括室室長森 重憲表示,現在的人越來越依賴網路,在網路的時間越來越多,但是網路攻擊的事件卻不斷地發生,而且從過去個人的攻擊,已經轉變為策略性的長期攻擊,攻擊目標包含公司的資訊、個資,甚至經營的相關資訊等,這些都是需要加以保護的資產。
森 重憲進一步表示,世界上駭客攻擊事件常見,但是台灣遭受到的攻擊事件比美國還多,再加上台灣是一個有很多智慧財產權的國家,所以對於資安的保護與安全更加需要重視。
對於資安防護,森 重憲指出,過去的資安防備方式,不管是公司或是政府體系,大多是自己搞自己的系統,但現在駭客集團是有組織、有策略性的攻擊,而且攻擊者的技術越來越高,不能再以單一的系統來對抗,過去的方式明顯已經無法負擔現在的資安防護,台灣有必要引進全面性的資安防禦機制。
森 重憲提出,所謂的防禦機制,人們已經習慣於「受到攻擊後,採取防衛措施,如此迴圈似的資安防禦」,但是,駭客攻擊絕對不會只有一次,一定是持續攻擊,一波接著一波的進攻,就是要摧毀資安的防禦。
森 重憲說,面對持續性攻擊,應該要放聰明一點,要讓對方以為攻擊已經成功,那麼下一次攻擊就會用同一種方式,也就是說,不要完全防堵,而是用技巧騙過對方。
「這樣的想法,可能與大家的想法差異過大」森 重憲笑著說,當資安的防備不斷地在強化的同時,駭客的技術也是在不斷地進步,如果可以了解對方的能力,做出欺騙式的防備行為,同時將資料數據應用在資安防護技術的提升,就能夠有效地防止對方的「攻擊」,是全盤性的保護。◇
資安保護 必須從小開始扎根
台北城市科技大學校長連信仲表示,資安的保護,最重要的要先從教育著手。「沒有被蛇咬,不知道痛」,其實很多人對於資安的問題一點都不重視,出事之後才會知道有多重要。對於不明網站要小心謹慎,如同碰到陌生人一樣,不能隨便給資訊,網路上更要小心,多一分準備,多一分安心。
「資安就是國安」,要如何建立起國人對於資安的重視,連信仲說,資安要從小扎根,政府也有必要說明,當個資、資訊洩漏後會有什麼嚴重的問題,以條列式的方式說明,讓國人知道保障自身權益的重要性。
連信仲解釋,資安要從小建立、從基層做起,就如同為人處世一樣,要從小學就要建立,養成習慣,等到大學才學習已經太慢了,這是一個基礎的綱維;至於專業的技能,可等到高中、大學再學習。從小學規劃好資安的習慣,國中端培養基礎觀念,高中建立職場所需的認證專業知識,大學則到企業去實習,讓每個階段循序漸進,逐步提高國人對於資安的認知。
台北城市科技大學主任祕書李尚懿表示,政策會引導辦學,政府應該建立全國資安觀念,藉由辦學方向指引學校,讓全國每個學校進行資安教育,培訓資安相關師資,透過課程的對應,搭配設備的輔助,並加上資安認證的考試,讓學生具有專業素養。當資安變成辦學指標或是企業指標時,就能落實在每個人心中。
「為什麼要建立專業的資安認證?這要從企業與個人這兩個部分來解釋」,連信仲指出,從企業角度來看,有資安認證,代表了這家企業是受到保護的,可以相信的,也代表客戶的資訊不會外洩,有保障;沒有認證的企業,就如同把東西交給一個沒有受過專業訓練的公司,雖然有義務與意願維護,但是專業能力是否足夠令人質疑。有認證的企業,代表他有這方面的專業水準與技術,可以保護客戶資料與企業個資問題。
至於個人端,連信仲表示,當一個人擁有資安認證的時候,他就會知道他遇到的人、商家、企業,可以提供什麼樣的資訊,就可以避免被詐騙。有專業知識,就可以謹慎保護自己。
李尚懿說,網路發達與大數據的影響,可以給人類越來越便利的生活,但是使用性的安全,就必須從資安道德來建立。資安的培訓,政府與企業要合作,讓國民從小扎根,讓國人了解資安的重要性,並深入每個人的「習慣」之中。◇
責任編輯:李薇
