167 5 促資訊保安 事實上,企業應該明白,資訊的保安工作,公司無法獨力維護與承擔,因為保安 系統是 一個由牽涉其中各持份者共同作出貢獻和努力的共同成果,這一點十分重 要。若企業對 網絡入侵「秘而不宣」,害怕事故影響企業營運,只獨力去承擔和 解決,最終會失去客 戶的助力,大家共同去堵截漏洞,減少各自損失的機會。 安全標準「不安全」 隨著網絡犯罪和個人資料外洩事故不斷發生,網絡保安標準也愈來愈受到重視。筆者 記得,無論是今年英國航空訂票系統遭黑客入侵,導致大批客戶信用卡資料外洩,抑 或 2013 年 12 月底,美國僅次於 Walmart 的第二大連鎖商店 Target 遭到 黑客入侵, Target 當時估計,約有 4000 萬名客戶的信用卡或簽帳卡資料被竊, 這些公司其實都有 參與一個業界稱為 PCIDSS 的信用卡付款保安標準(PCIDSS 是「支付卡產業安全標準協 會」(Payment Card Industry Security Standard Council‧PCISSC)為了保護持卡人資 料及交易安全所訂定的標準,要求所有與支付卡處理 相關聯的機構,包括商家、服務供 應商、收單機構(Acquirer)及發卡機構(Issuer)都必須符合該標準。 這些參與 PCIDSS 的公司都聲稱有做足安全標準的要求,而顧客和政府亦相信公 司有 跟從了這個標準,但最後出現了問題,才發覺還有些地方沒有完全跟足。筆者一篇研究 論文便深入分析了相關問題(有興趣的讀者可參看 Information Security Outsourcing with System Interdependency and Mandatory Security Requirement, 刊《Journal of Management Information Systems》,Winter 2012–13, Vol. 29, No. 3, pp. 117– 155)。 安全標準愈高效果愈少 筆者的研究發現,為了滿足政府的網絡安全標準,業界定了安全標準後,很多公 司外包 給網絡安全供應商(managed security service provider‧MSSP)去協助設 立保安措施 以迎合這些安全標準。論文深入分析發現,強制性的安全要求,使 MSSP 的生意愈來愈 興隆,而且更不斷激勵它們為更多客戶提供服務,雖則有更 多客戶可以得到 MSSP 的保 護,但也導致隱含更多系統相互依賴風險。如果強 制性要求很高,反而有機會提高來自 第三方的網絡安全風險。 換句話說,強制性執行高安全標準,有機會加劇公司網絡保安上的損失。由此來看,強 制性安全標準的成果其實並不理想。主要原因是,企業除了外包給 MSSP 設立這個安全 標準外,公司內部的資訊保安水平並沒有真正提高,中間還是有不少紕漏,成為黑客入 侵的方便之門。事實上,安全標準愈高,除了給網絡安全服 務供應商帶來更多生意外, 全面性的安全保護利益未必提高,因而強制性安全高 標準的政策並不可取。
RkJQdWJsaXNoZXIy NDk5Njg=