突然收到一則通知提示今天已是最後一天，我還以為鐵人賽是持續30天的！為了避免突然間無法繼續發文，我選擇先分享一些心得。若還有機會，我將於第30天再做總結。

首先，想談的是我參與此賽事的初衷。那句“資安即國安”並非空洞的口號，其背後反映的是資訊安全重大影響。當我們不上升價值到國家，只談個人被詐騙的問題，回顧相關新聞，可以發現台灣多次被冠以“詐騙王國”的稱號。而背後的原因，其實很簡單——因為詐騙有利可圖。

在當前的數位化時代，若能精準地識別社交工程攻擊，當然是最理想的情況。但對於大多數人來說，即便無法完全分辨詐騙的手法，我們至少應該培養不輕易點擊不明連結的習慣。而一旦不慎點擊了詐騙連結，我們也應立即意識到這可能是一場詐騙。

從各種新聞報導中，我們可以看到詐騙行為日益猖獗。例如，2023年的新聞報導指出，僅去年，透過公私部門的協作，已成功攔阻高達新台幣69億元的詐騙金額。不禁要問，那些未能攔阻的詐騙金額又是多少？

更糟糕的是，有些人即便曾經成為詐騙的受害者，也可能未曾察覺。這使得他們在不知不覺中投入更多的時間和金錢。就像最近的一則9月的新聞：遭愛情詐騙後求助「谷歌大神」 科技男慘遭2次詐騙，即便科技男應該擁有一定的資訊素養，但仍然兩度成為愛情詐騙的受害者。這告訴我們，擁有資訊技術能力並不等同於擁有資訊安全意識或能力。因此，提高大眾的資安意識與認知，讓大家都能辨識和防範社交工程攻擊，關係到自身財富的切身課題。

我本身從事社交工程相關的業務，知道如何協助機關本身順利通過安全稽核，但對於廣大民眾的資訊安全，感到愛莫能助。社交工程是一個簡單但複雜的問題，儘管我可以就社交工程撰寫三十天的不同詐騙手法的案例分析，其核心思想仍然非常簡單：那就是"最小信任原則"。對任何不認識的簡訊或電子郵件都持懷疑態度，當作是可能的詐騙看待。因為真正重要的事務，對方總會再次嘗試用不同方式與你聯絡。

除非是遇到了高度專業的APT攻擊，否則一般的詐騙者因為成本關係也不太可能持續不斷地聯絡你。如果只分享社交工程的經驗固然有其價值，但核心內容稍嫌少了一點。於是，我研究了一下，發現很少有人分享關於資安法的資訊，於是選擇從這一角度進行分享。

事實上，對資安法的關心者其實不多，主要是C級以上的公務機關才會感到壓力。但大部分的情況下，這些問題都由資訊部門默默地處理。很多人認為資訊部門就是一個惹人厭的部門：他們說的專業術語難以理解，又似乎總是不能完全滿足需求，還要不斷投入資金。大部分的資訊部門，通常在專職資安的只有一、兩名員工，他們很可能還要兼顧其他職務，因此連專門從事資安的員工也不見得對資安有深入的了解。

也剛好我在研究所時主攻資訊安全，工作上也一直處於這個領域，所以希望能從資安法的角度，為大家帶來一些基礎但有價值的知識分享。

因此本次分享從資安法本身就是策略面、到管理面如何去確認有有沒有達成技術面的要求，希望對閱讀者有幫助，如果有問題可以留言討論，應該不難看出我擅長的是技術部分，管理要維護不難，但要從無到有的建立管理SOP，只能說顧問公司有其價值。