• 电  话:+86-0512-62807996
    传  真:+86-0512-62808596
    地  址:中国(江苏)自由贸易试验区苏州片区苏州工业园区东平街287号广鸿大厦4楼511室
    Email:jerry@zhenhong188.com.cn

强化资安第一箭 提升客户端资安意识

点击次数:更新时间:2016-11-21 09:11:00【打印】【关闭】

        当信息安全成为一个议题开始,四面八方管道例如,刊物、网站等等提供源源不断信息安全的相关信息,要求对象主要是信息技术人员或资安人员,期待建立并强化资安软实力,因为这些人负责管理公司组织的信息资产,懂技术、了解资安所可能带来的风险,建立并强化资安认知由信息相关人员开始,似乎合情合理。

        而技术解决方案方面,国内厂商也致力于研发或引进资安产品,透过技术解决方案建构信息安全防护的硬实力。厂商在推广这些资安产品,因为涉及投资,所以对象可能是负责信息的决策主管,但也还是以信息相关人员为主。此外政府法令及相关配套措施,例如要求金融保险业导入信息安全管理系统(ISMS)及个资管理系统(PIMS),颁布「寿险业办理计算机系统信息安全安全评估作业原则」,再搭配金融检查来确保这些法令及配套措施落实执行。

        由上看来不论是官方或是民间,不论是资安软实力、技术解决方案、政府法令等似乎是全方位的建构信息安全环境。看来似乎毫无破绽,但,还有什么可以补强的?

隐形的信息风险距离一般客户端的认知更加遥远 
        即使ATM提款金额已经设限,非约定账户转账也设了重重限制,但是每天还是有民众遭到诈骗而损失财物。电视购物平台客户数据外泄,购物频道照样每天开卖,民众照样买。手指的滑动,就可以在手机上完成购物、银行转账、甚至利用手机付款,诈骗电话上门,多少与这使用这些信息服务,有着一定程度的因果关系,如果不是你刚好在在线购物完成一笔交易,诈骗集团怎么能利用这信息找上你进行诈骗?一般使用者恐怕在滑手机不会想到这问题,前述这些问题,是民众不知道风险,还是根本不在乎? 

        ATM提款卡看得到,一般人都知道要好好保管,因此诈骗集团不容易偷到,就算偷到,还得知道密码,因此改用骗的,你看不到电话另一端的诈骗集团份子,他利用人性弱点及包装完美的故事,不需要知道提款卡密码,骗你上钩,让你双手奉上。 

        信息科技发展,消除了一般人存取信息设备的障碍,加上科技逐渐成为一项竞争力,改变商业游戏规则,例如金融科技,金融业若不追上这股潮流趋势,就可能被淘汰出局,但是越是复杂的科技,越是需要”包装”及”简化”才能让一般使用者上手,你无法用密密麻麻的使用条款、信息安全政策、隐私声明等,期待让使用者知道他所使用的信息服务存在什么风险,说实在的,这些都只是企业组织”规避责任”的措施,出问题时,你可能不知道你已经按了”接受”并同意相关条文。

        虽然从事信息安全相关工作,但科技发展之迅速,从手机、穿戴装置到行动支付等等,也不禁开始迟疑,使用这些产品有没有问题?有没有哪些风险? Google 能给我答案吗?

消费者资安认知促使厂商推动信息安全

        笔者曾在国内一家信息产品厂商担任资安管理工作,公司产品营销各国,在各个国家都有客户及消费者,因此在许多国家设有当地客服及维修服务中心,而因应电子商务趋势,这家跨国企业当然也提供在线购物、经营网络会员、社群等增加产品推广营销的管道。  
在这段工作经历中,因为参与个资法令遵循项目工作,有机会协助处理来自国外使用者行使其个人隐私权益的要求,例如删除广告信、疑似个资外泄事故的客诉案件。由于这些案件大多数来自海外的客户端,而这些客户端之所以乐于提出行使隐私权益、或个资相关客诉,除了是该国法律赋予他的权益,以及透过集体诉讼方式更有利于维护其隐私权益并取得利益外,关键点在于当事人对于法令的暸解及对个人隐私的重视。

        此外有部分案件来自对于资安有相当程度了解之客户端,有些纯粹为维护其个人隐私权益,进而向公司提出客诉,但也有些人表面上是主张其个人隐私权益,但实际上是他利用自身信息专业技术,透过一些黑客社群网站所公布的信息发现公司网站存在资安问题,加以利用意图牟取不当利益。面对这些议题,使得公司不得不采取一些措施降低这些事件对于公司的影响,包括建立强大法务部门处理这些案件,增加网站安全漏洞检核机制及强化应用程序测试作业,同时也迫使公司不得不将原本分散在各单位的会员数据集中控管。讽刺的是前述与资安相关的管控措施,在事件发生前是为推动个资/资安管理工作所提出而被否决的建议,这段经验给笔者一个非常重要的讯息:客户端信息安全意识或个人隐私意识抬头,对于企业组织强化信息安全产生直接的压力。

  2014苏州振宏信息科技有限公司 苏ICP备10070324号
振宏科技始终专注于网络安全技术,一直引导发展网络准入控制系统,桌面管控系统,网络运维监控系统。详询:0512-62807996
全国免费咨询电话:0512-62807996