环境不太好，我们不想等到真的出了大事情再来改变环境，与其坐在那边唉声叹气，不如让更多有热情的朋友一起重视这个议题，为了更好的未来一起努力。

    上周新闻台又在报导某家连锁业者的会员资料在俄罗斯的网站上被发现，企业主则忙着澄清，说委外的厂商被入侵，已经要求厂商更换主机，然后在网站最新活动中刊登了一则请大家注意的消息。也许只有我们这种从事资安工作的，才会真正关注到这则新闻。一天以后，几乎没有任何的媒体再来追踪这则消息。问题解决了? 大家心里都很清楚，暂时有了解决方案，但会不会彻底执行又是另外一个议题。没有裁罚，没有巨额的民事损害赔偿，当大众选择淡忘后，如果委外厂商又是高层的皇亲国戚，很有可能连厂商都不会更换。

    有没有什么要检讨的，企业主习惯的说法会告诉我们，未来在合约中对委外要求更加明确。委外厂商怎么说，我们会慎选我们的机房，避免类似的事件再度发生。再问下去就是加强人员的教育训练，以便能够及早发现相关问题。如果还有那个不识相的，继续在外面到处乱说，小心对方律师的存证信函就会寄来，准备对你提起告诉。但是洞在什么地方? 补了没有? 很制式的答案会告诉你，这种太专业的技术问题，我们很难清楚的回答。或是和你说，你要列出我们改的地方，我们再来看看。再不然就是告诉你，黑客的功力实在太强，我们已经尽可能的做好，但还是被他们趁虚而入。漏洞还是存在，操作系统没有修补还是维持原样。SQL Injection 高风险的项目还是不改程序，甚至更消极的，就觉得自己运气不太好，反正勇于认错、决不改过，一咬牙又是一条英雄好汉，这个议题大家都不在乎，我花那么多时间精力干麻?

    想要做些事的资安人员，很多时后会得到这样的答案，那是别人家发生的，我们没事就好。或是被泼了一头冷水，不要把事情想得太复杂，其实没有那么严重。如果想要趁这个机会进行改革，很多主管问的第一个问题是其他家怎么做，是不是一定要做? 如果不做会不会被罚? 还是我们只要意思性的做一下就好。甚至还有同事会嫌你不专业，也不会写程序，也不会管系统，只会在狐假虎威。但是如果异地而处，今天发生事情的是我们单位，那资安人员肯定是第一个牺牲者，你要坚持你的专业，这些事情我们就是不懂，不然为什么要请你来，你为什么都不说，你知不知道你的工作很重要啊。如果遇到不重视的高层，甚至还要面对被冷冻或调职的风险，有多少的资安人员会为了坚持自己的理想而放弃一家大小的生计呢?

    环境不太好，我们不想等到真的出了大事情再来改变环境，与其坐在那边唉声叹气，不如让更多有热情的朋友一起重视这个议题，为了更好的未来一起努力。