(1)事件:科技董座扮「白帽駭客」,竄改高鐵票價,判賠15萬寫悔過書 (新聞來源: https://www.ettoday.net/news/20160821/759684.htm )
(2)被攻擊單位:台灣高鐵
(3)系統:車箱升等的電腦網路購票系統
(4)時間:2015年03月
(5)攻擊方式:訂票系統的漏洞
這是一個比較舊的案例,該案例比較有趣的地方,是這位科技董座許先生說的一句話:
「我對臺灣民間企業的資安了解就是,銅牆鐵壁卻忘了關門。臺灣人做東西都只做表面,先交再說,有洞再補洞。不過我也是這種人啦。」
以該案來說,根據新聞後來的說法,許嫌先在高鐵網頁填選資料,然後擷取原始碼、修改票價,再傳給信用卡公司,完成購票手續,基本上,有點程度的駭客都能做到這個程度。只能說高鐵網站防火牆不足,沒有及時發現並修補漏洞。加上高鐵警覺性不足,才會有這個事件的發生。
筆者再此要說一個重點,就是『忘記關門』這件事情,科技來自生活日常,一間房子正常的情況下,都會有鐵窗、鐵門等等設施,當我們人外出不在家時,正常我們都會鎖門,甚至於會設警報、保全系統等等,這個關門、設保全的動作,正常的情況下(不討論特例),執行這個動作的是甚麼?
答案就是 :人。
如果有天不小心沒鎖門,遭竊時,正常情況下,除了竊賊如何入侵方式之外,我們在檢查門窗之後,一定會檢討的是誰沒鎖門。筆者這個邏輯,在正常的情況下,應該是沒問題吧!
把這個日常在平凡不過的事情,換到企業來說,企業不見得是照邏輯上的認知去處理的,如果有人入侵,企業當然會先查入侵者,接下來開始查的,就是防火牆、掃毒軟體有沒有效用,大致上前半段大致相同,但是很奇怪的是,企業很快下結論:加強資安。
各位看完前兩段的敘述,有沒有漏洞
需要補強呢?
漏洞就是,沒有檢討自己企業內部!
以這個個案來說,高鐵事後,就是修改訂票流程,當然公司內部不可避免也要提檢討報告,可是,漏洞的關鍵,人,有沒有修補呢? 這恐怕是要高鐵自己才知道。
今天是筆者第十二篇的資安案例,筆者舉的案例只有自己本身親身經驗分享,會反省自己之外,我們看到所有企業相關的案例(2017~2018年間),都認為自己是受害者,反而是外部人,才會劍指企業的錯誤在何處。
所以外部稽核還是很重要的一環,資安不能沒有這塊拼圖,當然企業要自身檢討不足,如果結論都是加強資安,實際上對於資安的前景幫助是有限的。
台灣不就是...
什麼都好,就是見不得人好。
什麼都對,就是別人不對。
什麼都錯,就是自己沒錯。
什麼都能檢討,就是不能檢討自己。
忘了關門,外面會聽到!
還有
自己捨不得分享,總是要別人分享
本以為,開民宿時,就已經見識到...來自『日本以西南」『韓國以東南』『菲律賓』以北的那個島國,部份客人的...奧義之處了。
就在昨天,我發現我只是井底蛙...來自『日本以西南」『韓國以東南』『菲律賓』以北的那個島國,部份客人的大絕,昨天,我看見了.