「客戶不是上帝，請有善交談」
這便利商店自動門的開門聲，是不是應該套用到所有的便利商店啊。
走進有錢銀行對面的便利商店後，看到了Anderson，他什麼時候會這麼準時了?

『Hi...你已經點好囉? 那等我一下，我也去買杯咖啡。』

「這杯是你的啦，我又不喝咖啡。」

他變了? 不，我的直覺告訴我，他有事。

『前兩天那則假新聞，你應該沒有看到吧?』

「假新聞，每天那麼多新聞，真的不一定是真的，假的不一定是假的，你說的是那一則，我想一下。」

他突然把他的手機甩到我面前...

「你自己看一下這內容，暗網裡在賣我們客戶的資料，你看一下，你覺得這有可能是真的嗎?」

我楞了一下，其實我也不是很想看，但他那個眼神，讓我覺得不看會比看還要糟，只好把手機移正，看了一下內容...

『這假的吧，這看就是假的吧，整排出生年，都是西元3200年...這有啥好看的?』

「假的，對不對，有人要買耶。」

『真的? 那你怎麼賣? 一個名字多少? 還是一個帳號多少? 還是打包價?』

「你這說的就不對了，我怎麼可能會賣這種假資料，暗網我又不熟，生意是要講信用看利潤的，再說我缺這種小錢嗎?」

兩個人聊天，最怕的就是雙方好像什麼都說了，但又什麼都沒說。

「上次跟你說的事情，考慮的如何，去幫一下我家的王小四，如何?」

雖然我臉上是笑笑的，但我真的不相信，Anderson真正要說的是去幫王小四。

『幫他那個部份? 他不是連admin帳號的密碼都回收了，不就是不想有其他人再介入。』

「admin的密碼? 他搞錯了吧，我們公司是維護商，密碼保管者一定是甲方啊，怎麼可以這樣呢?

你看，你想怎麼幫，就怎麼幫，密碼我等下傳給你，你就納入特權帳號管控，這樣不就可以了。
這個小事，不用介意啦。何況我們集團高層也不在意這種事，密碼管理的重點，是登入時的密碼要正確，誰管理都一樣的，哈哈哈哈哈，是吧。」

Anderson 也有密碼?

「這樣好了，等下我就把我們公司負責維護系統的密碼都改掉，然後我再傳新的密碼給你，這樣不就好了?」

『哦? 不是王小四改了密碼? 是你改的?』

「當然是我啊，我每次改完，都會給小四一份新的，他就負責更新Excel裡的密碼就好。

你不要都沒有反應，我知道你要說什麼，但資安治理這種事，不是說變就變，也不是短期一次性作業，是要長期抗戰的，我也是怕我們集團出現重大資安事件，所以才把密碼收在自己手上，如果發生帳密外洩事件，你知道有多嚴重吧。」

他講的好像都對，但跟資安又是反方向...

『資安治理...也是啦，畢竟密碼如果儲存在Excel...兜售起來，是比存在特權帳號管理系統裡面方便。』

「哈哈哈，我是不缺錢的人啦，Excel Pay才值幾個錢，但那王小四，我就不知道了。不過，沒問題的，他還不會敗壞到去賣這些資料。如果他真的這麼做了，我們可是要追究責任的。

再說了，Excel裡的資料，是可以相信的嗎? 完整性、機密性和可用性，沒有一項靠得住啊，我如果要買，我一定要買整套特權帳號管理系統裡的資料，這才有用啊，你也懂這些的，不是嗎?」

『好像是這麼一回事哦，那就這樣吧，我下午過去你們辦公室，找小四聊一聊，看看有什麼我能協助的。』

「好啊，等我一下，我先換一下密碼。」

『在這換?』

「是啊，你不要這麼敏感，我就搞不懂你們這些資安意識很重的人，看到別人在敲密碼，就會把目光轉到另一邊，有必要這樣嗎?

我手機裡有個APP，一鍵更換所有系統的密碼，很方便吧，按一下就好。」

『什麼APP這麼神奇?』

「好啦，已經換好了...哎唷，我忘了過濾條件，連Asuka部門小路的密碼，也一起換了。」

他那是從暗黑世界下載的APP吧，Anderson連小路的密碼都有? 對，應該也會有，寫在便利貼，然後貼在螢幕上，路過的人，很難不注意到。

『我問件事，你的資安治理，是加了絕對值後的資安治理?』

「這你就說錯了，資訊安全要不要重視，要啊。重不重要，重要啊。是不是要認真面對，當然要認真面對。

資安是生活，要落實在生活中的每一天，要注意到所有的方方面面，這些都很好啊。

但，不能把資安治理當一回事啊。 」

『當然，這個世界加了絕對值，看什麼都是正確的。只是，還是會有風險因子，你可能沒有考慮到。』

「風險? 什麼風險?」

『有多少人願意用你的標準看待這件事，這個風險就滿大的。』

「我以為你要說什麼，這個在我們有錢集團要是問題，早就是問題了，不是嗎? 不要擔心太多，沒事的。」

『反者道之動，加油吧! 我等下去找小四。』

(待)

2025/09/18 SunAllen

註：CISSP
Domain 1：Security and Risk Management 資安治理被誤解成「誰管密碼都一樣」，缺乏正式治理框架與責任分工，反映風險與治理缺陷。
Domain 5：Identity and Access Management (IAM) 特權帳號管理失敗，用 Excel 管理密碼、維護商隨意更改並分發帳密，違反最小權限與職務分離原則。
Domain 7：Security Operations 暗網資料與假新聞事件沒有被正式納入事件回應流程，責任歸屬模糊，監控與應變缺失。
Domain 3：Security Architecture and Engineering 使用來源不明的APP，顯示控制機制未經審核，屬於架構與工程上的安全缺陷。