日昨跟同業的朋友開玩笑，同業問我，誰有辦法做好100%資安？我說能做好資安的，除了天堂，不然就是地獄。
只是，地獄也發生過一次資安事件，那就是孫悟空(駭客)篡改生死簿(被駭)，這應該是人類有記錄到的地獄被駭一次吧?
100%的資安連神都很難辦到了，不是嗎?

資安該怎麼做？ 今天我們就利用政府單位的資安事件，來說明一下該怎麼做。

(1)事件：台北市公衛系統遭置入木馬，使得眾多民眾個資外洩
(2)被攻擊單位：台北市衛生局
(3)系統：公衛系統
(4)時間：2018年9月
(5)攻擊方式：木馬程式

根據報導，這次事件，是台北市政府資訊局安檢的時候發現的，台北市資訊局回應新聞媒體如以下連結：
https://doit.gov.taipei/News_Content.aspx?n=4B2B1AB4B23E7EA8&sms=72544237BBE4C5F6&s=39A63EF8105F85DC

本篇筆者不針對該事件做太多說明，但是，因為該案件是涉及到政府單位的資安，正好可以提供讀者一個國家等級的資安通報的做法參照，也許有些讀者還再苦惱如何做？希望本篇能對大部分想做好資安的人，提供一個方向。

上述內文中有提到『資安通報的流程』，以下我們引用行政院國家資通安全會報通報與應變作業流程圖：

大部分的一般公司，正常來說，會訂定一套程序來處理資安事件，如果不知道該如何做，可以參考行政院的資安通報綱要，連結如下：

https://www.nicst.ey.gov.tw/Upload/UserFiles/%E5%9C%8B%E5%AE%B6%E8%B3%87%E9%80%9A%E5%AE%89%E5%85%A8%E9%80%9A%E5%A0%B1%E6%87%89%E8%AE%8A%E4%BD%9C%E6%A5%AD%E7%B6%B1%E8%A6%81.pdf

筆者就依上述的綱要，筆者簡化成下列步驟，以茲做為參考：

1. 明確定義部門： 清楚分出組織資安層級及關聯。
2. 訂定資安層級： 依上述pdf，政府單位一共分四級，主要依風險來分類，另外強化各級權限，明確做出權責分立。
3. 明定通報時間及聯絡方式： 確定發生事故後，有依規定時間內，通報該通報的機關。
4. 加強資安演練： 尤其再發生資安事故時，有無辦法快速組織應變小組(見下圖)。
5. 獎懲。

以上，筆者針對上述做法提出一些評論及分析，資安這種東西，本身就是抽象的東西，如果要硬算，很多都可以算在資安上面，公司基本上在還沒有遇到問題時候，大抵上認為應付就好，這種心態普遍都存在一般企業裡面，畢竟很早之前，筆者就說過，大部分老闆認為，做好資安是無法讓企業賺大錢的，在還沒有遇到重災時，公司絕對不認為一定有必要去做這些資安的事情。換句話來說，平時的資安作業，就只是形式再形式，主要作用就是能夠應付主管機關，以及告知媒體，公司有在做，也完全依照規定。但是，大家都知道遇到危機時，個個不管用，個個都失靈，為什麼會這樣呢? 筆者只說明一點，實際情況如果能套公式，那保證公司一定暴露於危險之中，因為不管是誰，只要搞懂流程，馬上就能發現漏洞，三兩下就攻破了。

其次，所有文章千篇一律告知讀者，不可小覷駭客，因為對方也不是套公式在進攻的。可是公司進行的SOP卻是套著公式在防禦的，仔細思考這個SOP，根本上來說，就是一個基本防禦門檻，筆者絕對不否定這個SOP的重要性，這是一定得做的。然而，平時演練，卻沒有突發狀況設計，早期當過兵的男生(這裡應該有當過兵男性讀者居多)大概都有經歷過，跑戰備時，通常戰情中心，會出一些怪題目，為了因應這些題目，往往必須要做戰備上的改變，整體配置也要跟著實際情況做改變，把這個狀況，套用到上述的快速應變小組上，假使突發狀況出現，一個團隊就要當下判斷，該如何阻斷攻擊？後續該如何應變？所以到底在發生事情情況下，公司能給予團隊多少權力，這又是關係到處理的結果了，但突發狀況設計、演練….公司真的會想做嗎？

最後，通報這個動作，筆者也說明一下，假使通報之後，金管會要罰一大筆錢，到底公司要不要通報？如果不談罰款，假如公司要面對365天的媒體轟炸，不管做得好不好，媒體照三餐批判，公司商譽要不要保護呢？

以上三點是筆者的三點看法，在現實生活中，這些問題，沒有一定的答案，資安所面臨的敵人，也不會跟大家說標準答案的。

筆者倒是希望資安事件，能寫得像三國演義一般，引人入勝，這樣或許會更有意思。