針對Zoom的資安問題,再度驗證的資訊安全這門學問的複雜,包含教育部資科司司長或台灣大學資訊領域相關的教授,都不是非常了解。
我是行政院資訊安全技術面的稽核委員,我想要稍微解釋一下什麼是資訊安全管理。首先有人要我推薦一個絕對安全、無懈可擊的視訊會議軟體,這件事情是做不到,因為資通訊安全產品複雜的情況,沒有辦法讓它在使用前,甚至使用中,得到非常高規格的資安檢測。產品系統太過複雜,檢驗時程曠日費時,甚至檢測成本高過開發產品所需,這也是資通訊安全產品標準共通準則 Common Criteria 失敗原因。
但是這樣並不表示對於資訊安全管理,我們就束手無策,沒有任何方法論。資訊安全重視的就是CIA,機密性、完整性和可用性,如果看到這篇文章的人覺得隱私不重要,只要能夠用就可以,那就不用再看下去,隱私就是資訊安全最重要的部分,在人工智慧大數據的時代,資料比錢更有用。
資訊安全強調的管理方式是 PDCA,所謂的PDCA是指「計畫—執行—檢核—行動」的過程,也就是說它是一個動態的管理,先要做風險評估,對於可能發生的危險做優先順序的排列,然後投注資源來修正高風險產生的威脅。
一開始我對 Zoom 的呼籲是「少用」,許多老師告訴我教育部主推的視訊會議軟體就是Zoom,我不是教育部的人,也不知道他們為什麼做那樣的決策,這是教育部所做的風險評估,當這個軟體有越來越多的消息指出它的資安漏洞,紐約市政府包含學校,和許多著名的公司最近禁止使用,這些都是新的風險評估因素,因為這些客觀的證據和事實,修正原來使用這個軟體的決策,這就是資訊安全管理。教育部現在的做法,就是資訊安全管理典型的做法,我個人覺得沒有什麼好批評。
我昨天引用馬丁・路德・金說:「世界上沒有什麼比真誠的無知和盡責的愚蠢更危險」,忽略所有威脅的訊息就是真誠的無知,因為已經購買使用,為了方便不顧安全,就是盡責的愚蠢,安全是什麼也比不上的事情。
有時候,我們會發現問題的確沒辦法更改,例如智慧製造有很多工控設備,發生的資訊安全的問題,可能因為還在繼續生產,或在短時間找不到任何可以快速替代的解決方法,所以無計可施,只能進行所謂的「長期規劃」。
但視訊會議的軟體替代品很多,並不是沒有選擇,學習一個軟體的操作方法應該也不用一個月,即使繳了年費最多也是幾千塊,況且還有其他開源軟體的選擇,如果連這樣都沒有辦法翻轉,安全的問題就被人家綁住,對系統品質的要求是不是太低?