175 5 促資訊保安 「雙重道德風險」陷阱 事實上,在網絡保安方面,很多事故的肇因,往往就是因為大家墮入了這個「雙重 道德風險」陷阱之中。很顯然,用戶是牽涉保安工作結果的一份子,於是企業難免 認為,用戶會為保安出一分力,自己也會作出一些保護措施,譬如保護好自己的密 碼;與此同時,用戶則認為,企業會做好防範網絡攻擊的措施和裝置,自己毋須多 此一舉,結果,雙方都減少了對保安的警惕性和付出,為網絡攻擊者帶來侵入的黃 金機會。 可以說,資訊保安要獲得良好成效,取決於企業和用戶兩者的付出和投入,而無法由單 方獨力有效完成。目前,資訊保安事故頻仍,往往是因為忽視了用戶投入或付出的部 分,這一點很值得清楚指出來。換言之,社會需要重新檢視一下用戶在網絡保安上所扮 演的角色和責任。 目前,大部分企業的網絡安全裝置都有防火牆、抵禦木馬程式的防毒軟件裝置,即使如 此,但假如用戶方隨意把自己的密碼與人分享、或與其他人共用電郵或已登入的電腦, 則企業無論做了多少安全措施,也屬徒然。因為網絡安全的漏洞,可以在一個電郵中, 便成為黑客攻擊切入之門。 Target 遭外部風險株連 很顯然,企業除了做足網絡安全的裝置和措施,還需要提出誘因,去激勵企業 內員工做 好自身保安付出和投入的部分。因為如果他們付出的部分不足,往往 便會成為整個保安 系統「致命」的阿基里斯腱(Achilles' heel)。 如何避免堕入這個「雙重道德風險」陷阱,筆者在一篇即將發表的論文《Bilateral Liability‐Based Contracts in Information Security Outsourcing》(基於雙 邊責任 的信息安全外包合同),提出以合同的形式,來釐訂保安工作的責任分 布。事實上, 在網絡保安的責任和後果上,用戶都應該分擔其合理的投入或責 任的部分,此舉對強 化保安的效果產生積極作用,因而加強用戶在網絡保安工 作的責任意識,筆者認為相 當重要。
RkJQdWJsaXNoZXIy NDk5Njg=