iT邦幫忙

2023 iThome 鐵人賽

DAY 29
0
Security

資通安全管理法入門系列 第 29

[Day 29] 資安法入門心得總結

  • 分享至 

  • xImage
  •  

突然收到一則通知提示今天已是最後一天,我還以為鐵人賽是持續30天的!為了避免突然間無法繼續發文,我選擇先分享一些心得。若還有機會,我將於第30天再做總結。

首先,想談的是我參與此賽事的初衷。那句“資安即國安”並非空洞的口號,其背後反映的是資訊安全重大影響。當我們不上升價值到國家,只談個人被詐騙的問題,回顧相關新聞,可以發現台灣多次被冠以“詐騙王國”的稱號。而背後的原因,其實很簡單——因為詐騙有利可圖。

在當前的數位化時代,若能精準地識別社交工程攻擊,當然是最理想的情況。但對於大多數人來說,即便無法完全分辨詐騙的手法,我們至少應該培養不輕易點擊不明連結的習慣。而一旦不慎點擊了詐騙連結,我們也應立即意識到這可能是一場詐騙。

從各種新聞報導中,我們可以看到詐騙行為日益猖獗。例如,2023年的新聞報導指出,僅去年,透過公私部門的協作,已成功攔阻高達新台幣69億元的詐騙金額。不禁要問,那些未能攔阻的詐騙金額又是多少?

更糟糕的是,有些人即便曾經成為詐騙的受害者,也可能未曾察覺。這使得他們在不知不覺中投入更多的時間和金錢。就像最近的一則9月的新聞:遭愛情詐騙後求助「谷歌大神」 科技男慘遭2次詐騙,即便科技男應該擁有一定的資訊素養,但仍然兩度成為愛情詐騙的受害者。這告訴我們,擁有資訊技術能力並不等同於擁有資訊安全意識或能力。因此,提高大眾的資安意識與認知,讓大家都能辨識和防範社交工程攻擊,關係到自身財富的切身課題。

我本身從事社交工程相關的業務,知道如何協助機關本身順利通過安全稽核,但對於廣大民眾的資訊安全,感到愛莫能助。社交工程是一個簡單但複雜的問題,儘管我可以就社交工程撰寫三十天的不同詐騙手法的案例分析,其核心思想仍然非常簡單:那就是"最小信任原則"。對任何不認識的簡訊或電子郵件都持懷疑態度,當作是可能的詐騙看待。因為真正重要的事務,對方總會再次嘗試用不同方式與你聯絡。

除非是遇到了高度專業的APT攻擊,否則一般的詐騙者因為成本關係也不太可能持續不斷地聯絡你。如果只分享社交工程的經驗固然有其價值,但核心內容稍嫌少了一點。於是,我研究了一下,發現很少有人分享關於資安法的資訊,於是選擇從這一角度進行分享。

事實上,對資安法的關心者其實不多,主要是C級以上的公務機關才會感到壓力。但大部分的情況下,這些問題都由資訊部門默默地處理。很多人認為資訊部門就是一個惹人厭的部門:他們說的專業術語難以理解,又似乎總是不能完全滿足需求,還要不斷投入資金。大部分的資訊部門,通常在專職資安的只有一、兩名員工,他們很可能還要兼顧其他職務,因此連專門從事資安的員工也不見得對資安有深入的了解。

也剛好我在研究所時主攻資訊安全,工作上也一直處於這個領域,所以希望能從資安法的角度,為大家帶來一些基礎但有價值的知識分享。

因此本次分享從資安法本身就是策略面、到管理面如何去確認有有沒有達成技術面的要求,希望對閱讀者有幫助,如果有問題可以留言討論,應該不難看出我擅長的是技術部分,管理要維護不難,但要從無到有的建立管理SOP,只能說顧問公司有其價值。


上一篇
[Day 28] 資安法的未來挑戰
下一篇
[Day 30] 31?30?總結
系列文
資通安全管理法入門31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言