iT邦幫忙

2025 iThome 鐵人賽

DAY 21
1
佛心分享-IT 人自學之術

小小工程師從職場實例,看 IT 團隊如何協助企業數位轉型落地系列 第 21

Day21 Project: CyberSec Incident Handling - 流程再造 - 資安事件

  • 分享至 

  • xImage
  •  

對筆者團隊的經驗而言, 資訊工程部門跟企業的連結主要是在這兩點

  • 營運增長與優化 (Business growth and cost efficiency...)
  • 風險控管 (BCP, DR, 資安...)

而資安這個 case 是很典型的 anti-pattern,知道該做可是偏偏沒發生,IT 應該常常遇到這種事情,這事情的基本邏輯是這樣:

  • 資源難拿 :
    老闆可以看到程式碼產出,因為他可以理解程式碼會變成工具(網頁),這些工具會變成進入他口袋的錢,但是處理風險管控這種維運類的,他的邏輯是從他的口袋拿出錢,這是他虧的,他會認為我就給員工薪水了,事情不就應該沒風險了。然而他沒有意識到他給的薪水只是給專業能力,需要的工具跟環境也是需要公司投資的,而且這個投資轉換成價值是需要時間的,老闆通常是預算都還沒批准,就認為你應該已經把事情做完了。
  • 看不到價值:
    老闆不管是創業主或是專業經理人,基本上都是一般意義上的成功人士,不管他們怎麼包裝他們過去的路有多艱辛(誰不辛苦?但是英雄只看得到自己)。
    基本上成功的老闆都是有一定氣運的人,基本上就是覺得鳥事不會發生在他身上(賭徒心態),一定要上了一些排行榜後,才會接受總不是每天都在過年。但是另外一個角度,員工如果一開始很努力就做好,風險沒變成事件,老闆會認為本來就應該是這樣,員工也不會拿到應有的認同。再來就是類似靠北工程師上的分享,沒被看到價值的工程師,終會見到老闆的黑手來關心了(人資老婆婆用袋子打你,要你讓位?)。
  • 平衡點在哪?
    在台灣,遇見英明的好老闆是員工的幸運,慣老闆的存在則是常態,員工該怎麼自我定位,就看各位看官自己評估了(只能說通常答案是在零跟一百之間),比如說根據自己的專業能力,該做的評估、規劃跟實作還是要適當的發生,把紀錄留下,起碼照公司的授權跟資源作業。
  • 不只是事件,可能是案件了:
    排行榜在此,看官如仔細查閱排行榜,某些單位可以時不時上榜,延續數年,也不知道是不是公司法務很厲害,還是高明的員工在拿捏公司的做法,who knows...
    - 涉詐資訊公告-高風險業者
    - 國家資通安全研究院-漏洞警訊公告

Situation

  • 背景說明:
    以此數轉專案為例,筆者團隊承接此專案時,如前面專案立案、盤點所述,在資源所限下,我們要怎麼定義目標跟事情的優先順序,尤其是第一年入駐時,通常當年的預算跟專案已經排定了,限制猶多。在跟董事會跟CEO討論優先序時,資安果不其然被排除掉了。這裡要再次強調,這時候溝通的歷程跟紀錄尤為重要,因為風險評估完後,工程團隊都還沒拿到授權跟資源,可是老闆們通常已經覺得事情已經解決了,或是常聽到的,你知道為什麼你不做(沒授權跟預算是要做什麼?),就算你把資安事件處理了,依照筆者團隊經驗,事情過後,人的記憶跟態度會發生奇妙的變化。事件當下的英雄,可能在事件後是被咎責的罪犯,這種鬼故事應該很常見吧?哪一個老闆會承認是他自己當初決定有問題?
    不管怎麼樣,事件的處理都需要時間,資安管理還是要有適當的授權、預算跟規劃,不然事件發生,從 incident management 到 problem management,能完善處理完的團隊(不要反反覆覆一再發生),也不是那麼多。
  • 以該組織兩次資安事件為例,說明相關處理方法供大家參考,僅以概略分類說明。因每次事件都是獨立事件,這兩起案例的解法也是因其場景限制的客製化處理,非通用規則,特此說明。
  1. 該組織的原生環境已在之前的章節描述過,環境非常『老派』,信奉不與惡人作對(有人打你的右臉,把左臉也轉給他),所以環境基本不設防,本質上佛性管理,資安事件的發生只是早晚的問題。
  2. 兩次資安事件
    1. 一台服務主機被入侵,中勒索軟體,駭客要求比特幣贖回資料。
    2. 使用者資料外洩,使用者接到詐騙電話騷擾。
  3. 數轉團隊進駐後,雖經指示,優先處理組織數位韌性問題(服務要活著),但是因為小組內部評估該組織資安風險過高,還是同步開始規劃相關處理程序,將資安的問題在改善數位韌性時,逐步納入專案規劃。規劃方式如下:
    1. 第一步就是在工程定版後,進行系統、應用程式及數據備份作業。第一步先有,並可以確實恢復,異常處理效率跟時效性後續再逐步改善。
    2. 同時嘗試進行數據資料分級管理作業,將核心數據、協作用的數據跟可揮發的數據,先拆分三級出來,並嘗試在系統優化的過程中,逐步配合系統、網路網段分級、應用程式拆分、資料備份方式、資料存取控制策略調整。
  4. 兩次事件發生時,數轉團隊已進駐一年,手上已經有備份的資料(不確保是乾淨的?),對主要的應用程式、核心數據、對應的作業流程邏輯、系統環境、數據備份方式、資料存取控制策略等,皆有一定程度的了解,資安計劃是在第三年開始針對新架構施作(不花時間跟資源在舊有的架構上)。

Task

  1. 解決資安問題,將服務回復正常。
  2. 資安事件影響範圍,後續問題的收斂。
  3. 防止資安再次發生。
  4. 過往該組織無面對處理資安事件的相關經驗,更不用說可能需要面對民事或刑事責任的訴訟風險,在面對警方跟主管機關的壓力時,也不清楚該如何處理。在處理資安事件時,希望同步能建立起相關的處理程序,不光光是工程,從執行長辦公室該如何主導、公關及客服部門應該如何處理、業務單位應該怎麼配合,能同步建立起問題處理協作框架。

上一篇
Day20 流程再造 - 信件數位化
下一篇
Day22 Project: CyberSec Incident Handling - 流程再造 - 資安事件 - Action & Result
系列文
小小工程師從職場實例,看 IT 團隊如何協助企業數位轉型落地28
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言