【02】資安的原罪 ch.1 資安的重要性

資安重要嗎？筆者認為這是一個非常關鍵的問題。如果資安不重要，那花在資安上的時間與精力就可視為浪費，應該去投入更有價值的事情。因此，我們首先要釐清這個問題。

資安真的重要嗎？

對大多數人來說，資安似乎不重要。這種感覺很正常，因為多數人沒有直接遭遇過資料外洩、裝置被攻擊等問題所造成的後果。即便有影響，可能也延遲很久或尚未出現。因此，常聽到有人說：「裝置被駭就被駭，等出事再說吧。」

但如果換個情境：假設有陌生人可以隨意進出你的家，你會覺得「無所謂，等出事再說」嗎？大多數人應該不會接受，因為大部分人能夠輕易地將「陌生人進入家中」與「可能帶來的風險」聯想在一起。

資安不重要，還是你不了解？

本章希望傳達的核心觀點是：如果大多數人覺得資訊安全不重要，往往不是因為它真的無關緊要，而是因為「不了解潛在風險」。那筆者希望透過這個章節，幫助大家了解資安可能造成的各種影響。當對這些後果有了比較全盤清晰的認識後，讀者就可以再重新思考這問題。

如何理解資安的影響？

最快理解資安影響的方法恐怕是成為受害者。對台灣民眾而言，不久的未來恐怕就能直接體會這些影響（在 ch.1-3 中會提到），當然筆者並不希望這件事發生。那再不成為受害者的情況下，筆者認為直接看案例是最快的方式。所以本張將盡可能網羅不同面向的案例，讓讀者盡可感受到各方面造成的影響。內容按照筆者主觀重要性的排序如下:

• 資料外洩與隱私
• 生命安全與財產
• 關鍵基礎設施與戰爭

包含監聽、銀行號帳盜用、醫療設備被駭、智慧家居系統被入侵 、電力系統、交通控制系統遭攻擊等。從數位資料到對現實生活的影響，到影響整體國家安危，一步步呈現資安對我們生活的全面影響。

補充

最後將介紹些資安領域常見的名詞與概念。不過讀者可以略過這部分，直接往後面的章節看也不會有太大影響。如果日後對資安領域產生興趣，可以再回頭來閱讀這些內容。

資安定義

有個比較正式的定義和範疇。簡單來說，資訊安全是保護資訊資產（資料、系統、網路、硬體等）免於被未授權存取、竄改、破壞或洩漏的一門學問和實務。

依據 ISO/IEC 27000 系列標準（國際資訊安全管理標準），資訊安全的定義可以表述為：

資訊安全是保護資訊免於未經授權的存取、使用、揭露、修改或破壞，以確保資訊的機密性、完整性及可用性（CIA原則）。

ISO（國際標準化組織）^1

• International Organization for Standardization
• 制定跨領域國際標準，如 ISO 9001（品質管理）、ISO 14001（環境管理）。

IEC（國際電工委員會）^2

• International Electrotechnical Commission
• 專注於電工、電子及資訊科技領域標準制定。

ISO/IEC 27001 ^3

• ISO 與 IEC 共同制定的資訊安全管理系統（ISMS）標準。
• ISO/IEC 27000 系列涵蓋資訊安全管理的基本概念、標準與最佳實務，27001 是其中最核心的管理系統標準。
• 目標：以系統化方式保護資訊資產，並持續提升安全性。

ISMS ( 資訊安全管理系統 )

• Information Security Management System
• ISMS 是依照標準設計的管理體系，用於持續改善資訊安全。
• 可依不同標準建立，最常見的是 ISO/IEC 27001。
• 核心目標：確保 CIA 三項原則落實。

CIA（資訊安全鐵三角）

資安三大核心原則：

1. C – Confidentiality（機密性）：資料僅授權者可存取（加密、權限管理）
2. I – Integrity（完整性）：資料不被未授權修改（數位簽章、雜湊驗證）
3. A – Availability（可用性）：系統與服務在需要時正常運作（備援、災難復原）

CIA 是 ISO/IEC 27001 的基礎目標。