174 5 促資訊保安 第三方風險外漏洞 記得筆者曾在本欄提出網絡攻擊與「第三方」的風險問題。譬如,企業自身的網絡系統 相當安全,但是,當這企業增加了一些由外判供應商(第三方)提供的額外服務時,便 可能從外而內引入了可能的潛在安全風險。一旦「第三方」在其系統安全性上出現了漏 洞,黑客便可以乘虛而入,順藤摸瓜,直闖企業的網絡系統,為所欲為。 以英國航空公司的訂票網站遭黑客入侵為例,該公司廿多萬名透過信用卡付款的客戶個 人資料外洩,遭黑客盜取。網絡漏洞的缺口,便在於收取信用卡的服務系統,其網頁出 現了安全紕漏,以致在讀取信用卡付帳的過程中,為黑客所截取。這是「第三方」風險 的紕漏。可以說,企業與企業之間、企業與用戶之間,甚至用戶與用戶之間,大家互相 勾連,這種千絲萬縷的網絡關係,使網絡保安無可避免地帶有相互依賴的「集體性」, 很難單靠一方獨力完成。因而,我們也可以從責任分布的角度,去檢視網絡安全問題, 令網絡安全得到更全面、更現實的「整體性」維護。 事不關己己不勞心之害 對於網絡安全,一般人很自然把保安視為網絡保安供應服務商的責任;甚至用戶也很自然 地認為,這是企業的責任,它們有責任去設置一切保安設施,與自己無關。但是,除了 第三方風險外,大家其實必須考慮到用戶與用戶之間互動的風險因素。事實上,用戶是 網絡保安工作成果裡的一個重要部分,是牽涉其中的「持份人」,在安全的維護上也有 一定責任。 看深一層,在學術研究上我們認識到,若干工作的結果,往往需要由勞資雙方 共同付 出,攜手完成。在觀察和分析這種相互作用的行為,學者提出一個「雙 重道德風險」 (Double Moral Hazard)概念。須要說明一下,在信息經濟學裡,當市場參與者之間 存在信息不對稱的情況下,便會出現一種所謂的「道德風險」(Moral Hazard)。簡言 之,市場參與者的經濟行為,在最大限度增進自身的效用時,卻忽略了對他人的影響。 譬如,保險公司無法確知汽車保險購買者,在買入保險後的行為,駕駛者購買了保險, 基於車輛的損失由保險公司負擔,因而駕駛者便減少在駕駛時對路面交通安全的注意程 度,從而使行車風險提高,增加保險公司低估風險的可能損失。
RkJQdWJsaXNoZXIy NDk5Njg=