【26】資安的原罪 ch.4 資安的未來

目前為止，我們已經知道問題。但不要絕望，提出解決方案，尋找未來方向。

資安的未來是一片黑暗嗎？

我們目睹一波波資安事件，各國政府與大型組織接連遭駭。不論投入多少資源，似乎都難以有效防範。

那麼，我們是否只能放棄抵抗，任由資安全面失控？

目前我們怎麼處理的?

我們不斷導入各式資安產品、招募資安人才、實施各種安全措施和管制、監控、偵測與災後復原。我們進行宣導、員工教育訓練、制度規劃、稽核演練。

這些投入確實創造了經濟活動與產業成長，但本可用於其他更有價值領域的資源，如今卻大量消耗在疲於奔命的防禦中。

我們的方向正確嗎?

筆者最初意識到資安問題嚴重性時，最希望的就是提升全民資安意識防護，並呼籲更多有志之士加入資安守護。

然而，隨著深入了解，開始有了不同的看法。資安人才的養成門檻極高，若將大量優秀人力集中於此，而忽略其他可創造更大社會價值的領域，是否反而可惜？更何況，我們是否太高估了每一位民眾與機關能承擔的資安責任？在本職工作之外，還要投入大量心力應對資安問題，對多數人來說，其實是種不合理的期待。

我們不妨對照其他現實情境。例如，面對槍擊事件，我們並不會投入大量資源研發「防槍擊裝備」，要求全民全天候穿戴，或是訓練大批防槍擊人員全天候警戒；也不會不斷宣導「防槍擊意識」。同樣地，面對二手菸與酒駕問題，我們也不會要求研發防吸入裝置或個人防撞系統。我們會選擇從源頭著手，透過法律、制度與教育等多個面向，從根本來降低事件發生的可能性。

資安亦然。我們是否也能從根本出發，找出問題的源頭，改變整個系統的運作方式，進而創造一個更安全、穩定的數位環境？讓普通人可以專注於自己的工作與生活，而不用擔憂背後的資安風險；讓寶貴的人才可以投入於更高產值、更具創造力的領域。

當前核心的問題是什麼?

讀完第三章後，我們應該會意識到：技術其實只佔資訊安全問題的一小部分。雖然零時差的漏洞攻擊難以防範，但現實中更多的威脅來自源源不絕的社交工程攻擊 —— 而人，終究會犯錯，總有一天會被突破。更棘手的是，即使我們自身防禦得再好，也難以抵禦供應鏈或信任夥伴遭到入侵所引發的連鎖風險。

指望資安新技術來根本解決問題，幫助其實非常有限。這就像一棟地基不穩的建築，無論在上層加裝多少安全設施，整體風險依然無法根本消除。

未來

如同要登上更高的山，必須先從現有的山頂下來。要解決根本問題，可能得暫時忍受階段性的惡化。

• 我們是否願意犧牲一點即時的便利，換取長遠的安全？
• 是否願意在某些階段讓渡部分隱私，最終換來更全面的隱私保障？
• 是否願意接受更多法律規範，以換取更高層次的數位自由？

台灣正處於一個關鍵的時刻。是危機還是轉機，未來的走向可能由我們決定。
資安的需要好幾代接力完成。我們今天所擁有的安全基礎，亦是依然是前人不斷嘗試、失敗、再修正的成果。

接下來，筆者將分享幾個可能重新導向未來的思路與框架。希望這能成為一個開端，吸引更多人投入思考、提出更好的想法。