舉凡個人電子郵件信箱、雲端硬碟、網銀或社群網站等,都必須設一組帳號和密碼,用以保護個人隱私、金流額度以及機密文件,尤其以密碼而言,不能太過草率設定,有人會習慣以生日年月日,或者市話、手機號碼做為密碼設定,其實這是將自己的赤裸裸曝於網路危險之中,去年曾在桃園發生過歹徒利用Google電子郵件和雲端硬碟連通的特性,隨意抽取對象,用手機號碼當密碼做測試,居然有受害者被入侵,取得雲端硬碟中存放的身分證影本、照片及存摺影本,然後假裝自己是受害者向銀行申請更改電話,並沒被識破,又得到一組網銀新密碼,藉此成功登入網銀竊取數百萬的金額。
從新聞中,透露著網路使用者設定密碼的「偷懶」,不管是臺灣還是世界各國都是如此,受害者年年都在攀升,有被一次竊取網銀全部財產,也有竊取網銀帳戶的尾數,例如50.15元,通常這類的極小的尾數都不會被帳號持有者,或者銀行員馬上發現,以致於有心人透過系統計算的漏洞,竊取並累積到龐大的金額,這種方式稱為「義大利香腸術」,或稱為「沙拉米騙術」。還有一種利用公司出差報帳系統的漏洞,將浮報的經費匯入到自己的帳戶中,這是企業常見的系統漏洞,過去可能會利用這個漏洞,賺取高額的「額外收入」,但現在有會計端會再人工核對帳目再三,避免員工藉由出差浮賺差額。
所以無論系統牆築的再高,或者盤問關卡再怎麼嚴厲,終究還是有漏洞,這時不能把責任全推給資安人員,而是應該去檢討公司人員專業的培訓是否有漏洞?因為一個資安人員,不可能單獨去面對款項異常,因此,凡事還是要講求跨部門的配合,才能將漏洞補起來。
即便再小的漏洞,都要有人去注意,不然小問題日久就會成為大問題,在此引用一則「滴水穿石」的歷史故事來對照,其故事的內容如下:
宋朝時,有個叫張乖崖的人,在崇陽縣擔任縣令。當時,崇陽縣社會風氣很差,盜竊成風,甚至連縣衙的錢庫也經常發生錢、物失竊的事件。張乖崖決心好好剎一剎這股歪風。
有一天,他終於找到了一個機會。這天,他在衙門周圍巡行,看到一個管理縣行錢庫的小吏慌慌張張地從錢庫中走出來,張乖崖急忙把庫吏喊住:「你這麼慌慌張張幹什麼?"「沒什麼。」那庫吏回答說。張乖崖聯想到錢庫經常失竊,判斷庫吏可能監守自盜。
便讓隨從對庫吏進行搜查。結果,在庫吏的頭巾里搜到一枚銅錢。張乖崖把庫吏押回大堂審訊,問他一共從錢庫偷了多少錢,庫吏不承認另外偷過錢,張乖崖便下令拷打。
庫吏不服,怒沖沖地道:「偷了一枚銅錢有什麼了不起,你竟這樣拷打我?你也只能打我罷了,難道你還能殺我?」
張乖崖看到庫吏竟敢這樣頂撞自己,不由得十分憤怒,他拿起朱筆,宣判說:「一日一錢,千日千錢,繩鋸木斷,水滴石穿。」意思是說,一天偷盜一枚銅錢,一千天就偷了一千枚銅錢。用繩子不停地鋸木頭,木頭就會被鋸斷;水滴不停地滴,能把石頭滴穿。判決完畢,張乖崖吩咐衙役把庫吏押到刑場,斬首示眾。從此以後,崇陽縣的偷盜風被剎住,社會風氣也大大地好轉。後來,「滴水穿石」這一成語用來比喻堅持不懈,集細微的力量也能成就很大的功勞。