【30】資安的原罪 ch.4-4 公民意識

正是文化，促使組織改變習慣，優先從資安的角度考量；正是文化，驅使我們以資安為本設計系統（Security by Design）；也因為文化的關係，我們將資安賦權於個人 - AWS資安長Chris Betz ^3

社會文化由公民意識決定

十多年前，台灣社會普遍認為二手菸是無法解決的問題。當時，面對公共場所中的煙霧瀰漫，多數人只能默默忍受。然而，隨著越來越多民眾意識到二手菸的健康危害，社會開始形成共識，凝聚改革力量，最終推動法律修訂，落實公共場所禁菸的規範。

法律一開始也曾遭遇質疑、挑戰與抗拒，但隨著時間推移，禁菸政策不僅被廣泛接受，甚至成為我們視為理所當然的生活常態。如今，人們可以在室內自由呼吸，不需擔心吸入有害煙霧，而這一切，正是來自社會意識的轉變。

因為這其實只是習慣的問題，只要我們有那個心，有那個意識，就能打造那樣的社會。尊崇剽竊、破壞等文化，就會發展出那樣的社會；反之尊崇創意、研發等文化，就會發展出那樣的社會。誰對誰錯是複雜的議題、難有答案，但選擇權就在每個人手上。

當今的資安意識

當前大眾如何看待資安？整體而言，主流意識對資安的認同仍然薄弱，甚至存在排斥。這樣的態度。與我們面對航空安全時的反應形成鮮明對比：民眾普遍接受嚴格安檢與繁瑣流程，甚至擔心檢查不夠。

這是因為大眾普遍認同航空安全的重要，卻未對資安建立同樣的共識。對多數人而言，資安仍是一個抽象、遙遠的概念，缺乏迫切感與真實感。既然沒有被視為真正的「必要」，那麼就算只需付出一點點代價，像是操作稍微麻煩、成本略為提高，也難以獲得大眾的支持。即使這些微小讓步，能換來極大的安全保障。

這種漠視，導致我們放任資安環境持續惡化，而最終承擔後果的，往往是那些無力負荷的群體：中小企業、醫療機構、金融單位，乃至各級政府。他們被迫投入龐大資源，應對接踵而來的資安挑戰，如無止盡的監控、備份、漏洞修補與事件應變。

資源是有限的。當這些機構不得不將大量人力、財力與時間投入在治標不治本的問題上，代表原本可用於改善服務、推動創新或照顧民眾的資源也被壓縮、犧牲。

資安意識的逐步升溫

儘管如此，資安的重視似乎有逐漸升溫的跡象。微軟提出的「數位日內瓦公約（Digital Geneva Convention）」^7 構想就是一個代表，呼籲全球應建立網路空間的行為準則，建議各國應共同承諾以下三點：

1. 不從事或容許任何在其領土或管轄範圍內的人，進行危害雲端服務安全、完整性或機密性的網路行動；
2. 不應以間諜行動為由，任意破壞雲端服務的安全性；
3. 國家發動的任何網路行動，都應盡可能避免對非目標對象造成損害。

此外，各國政府應強化合作，透過強而有力、公開且多邊的行動，促使違規國家為其行為負責。這不僅能對不當行為產生嚇阻作用，也能共同推動全球走向更安全的網路未來。

如同「數位日內瓦公約」的理念，我們也可以進一步邁向「數位聯合國宣言」的目標，全面打擊網路犯罪。這將是一場全球共識的行動，類似過去國際社會對核武與化學武器的限制。我們必須攜手合作，共同打造一個更安全的數位世界。We must all work together to build a more secure and cyber-resilient world.

資安也許沒有那麼難

如今的資安挑戰，猶如在黑暗中摸索安全的出路，但若我們願意「開燈」，打造一個更安全的資通訊環境，或許情況沒有那麼複雜與難解。

當前許多資安問題的根源，其實可以分為幾個簡單的層面：設備終將被攻破、廠商缺乏責任、以及對犯罪者極具吸引力的網路環境。因此，若要改善資安現況，我們也可以考慮應從這幾個方向出發：

1. 新心態：預設會被入侵的思維

我們必須承認：現代電腦與裝置無法完全抵禦入侵與操控。因此，在採用新科技的同時，應主動了解其風險並採取防範措施。此外，應採取「假設系統已被入侵」的思維，強化資安監控與鑑識能力，及早發現異常、主動應對，並執法追查與制裁。

2. 新制度：讓廠商負起責任

資安不只是使用者的責任，更應回歸到源頭。廠商應對產品的安全負起更多責任，從軟體開發階段就導入安全設計原則，全面提升程式品質與資安防護標準^2，並負起發生資安事件所造成的損失賠償。唯有建立起負責任的企業文化，才能打造安全的使用環境。

3. 新世界：打造讓犯罪者難以立足的環境

推動更完善的國際網路治理規範，打擊跨國網路犯罪的孳生，確保每個國家都有法律與技術基礎，保護公民免受跨境網路攻擊與數位侵害。志同道合的國家應可以考慮成立「資安聯盟」，明確禁止會員國^5 利用自身境內的基礎設施（如交換器、路由器、網頁伺服器、DNS伺服器等）發動攻擊或進行情報外洩。

我們想要的未來

回顧現有的技術與制度，不難發現：我們其實早已擁有許多改善資安的手段與方法。筆者所提的最後一個原罪，來自人性 —— 我們真正要面對的問題其實是：我們願不願意改變。

一旦我們願意打造更安全的資安環境，這樣的意識就會集會而成一股力量，對資安要求的提升，會促使法律制度的推動與落實；法律的落實，會驅動企業與組織改變其行動方式；而企業與組織的新需求，則會進一步推動科學技術的創新與發展。最終社會就會往我們共同期望的方向成形。

這正是本書最終想傳達的訊息 —— 如果閱讀本書後，能讓哪怕只有激起一位讀者對資安意識的認同，那我們也許就朝向一個更安全的資通訊社會邁進了一步。因此比起問資安問題怎麼解決，也許真正該問的是：資通訊安全重要嗎？我們是否願意做出一點付出，換取更安全的環境？，本書在此完成閉環，回到第一章 「資安的重要性」。