各位先進大哥您們好,小弟在公司擔任MIS,上面有一個主管
目前敝公司有投資的醫療事業體,日前小弟到醫療大樓去檢修網路的時候
發現架構上並沒有防火牆與資訊安全的概念,就只是單純ADSL就供全大樓做網路使用
因為有連結到伺服器的醫療系統,我怕這樣子被入侵了那病患的隱私不就全部都流出了
因為我上面的主管不管事,又不想我去動他的架構,問他為什麼當時會這樣子設計
他只回了我因為省錢,反正沒有發生過,請問一下就各位先進們的經驗
小弟應該如何規劃又應該如何來說服公司可以改那邊的架構?
還望各位先進們給予小弟一些意見,謝謝您們
jhoward提到:
很快就可以不用工作了
個人曾經手四、五個醫療相關單位資訊網路管理
根據以往經驗,憑心論
閣下的問題很難解
尤其是主事者是沒遠見又沒擔當的怕事者
經驗之一
客戶(病患)資料整批出現在中國某網站供人下載
業主經朋友"提醒"才乖乖花錢改善
直接換一家維護廠商,一切就當沒發生過 - 不承認,一切賴給前一家維護廠商。
經驗之二
某醫療公會會員資料整批外洩。
同樣"視"若無睹,反而找藉口把善意提醒的"告密者"換掉 <- 這實在很糟糕
事後一切"蓋"的很完美,就像完全沒發生任何事
勸你慎重行事,不要讓你的責任感與善意害自己丟了工作又揹黑鍋。
相信您也一定曾經有段辛苦的路程啊
在這個行業大家真的都要共勉之
我相信在企業主的考量第一優先肯定是成本為考量優先
不會是只有我現在這個老闆,每個老闆幾乎都一模一樣
痛過一次才會有想改善的想法
我想我目前就是靜待觀察吧,至少有擬出一套發生這樣的問題要怎麼解決為優先了
實實在在的讓他痛一次,才有可能對這方面有所重視
你可以評估一下,如果電腦被入侵,個資外洩會損失多少錢,
你要投入多少錢可以預防這種狀況發生.
然後你老闆就會決定要不要作,
如果出問題也沒有你的事了
sssp116提到:
痛過一次才會有想改善的想法
問題在這個"痛",很可能會讓你自己惹禍(黑鍋)上身
最好是留下你曾經向上反應問題的證據
免得讓半澤直樹在你身上真實上演
個人第一次遇到時,就是輕忽這點
事後硬是被"栽贓"揹了黑鍋
後來都一定以書面簽呈或錄音留下記錄
反而避掉兩次被當"替死鬼"的責任
只是也連帶丟了工作 <- 錄音那次
我和我同事去年也被栽贓過,還好我們都有留紀錄,公司高層才罷手...
我們曾經在週會簡報3次,被攻擊的公司網站、防火牆紀錄...等都成為證據。
資安不一定要靠防火牆
做好資料加密也是可以的
我懂妳的意思,目前我擔心的是假如被有心人士入侵了
很怕病患個資外洩,還有無其他方式
個資法你有必要去看一下
瞭解狀況才有辦法去做政治上的溝通
得到授權後
再來才是技術問題
是的,當然最重要的還是最後老闆的決策
只是想請教一下是否有做過醫療事業體的
可以供參考
這部分是需要時間去了解來做溝通的
ADSL後端應該有個IP分享器.
重點在後端的電腦管理, 防火牆相對來說不是最重要的.
現在這個真的是挺困難的
當然小弟只是想要對這個架構做一點改善
重點不是技術也不是防火牆設備等
是想要怎麼提才能讓老闆對這個重視
現在遇到最大的問題都是等遇到了再來解決
沒有遇到就無所謂
說明白點MIS是滅火器,發生火災的時候就可以滅火
但是滅火器又有分乾粉式、氣泡式、水基式,如何有效規劃滅火器
而不是等到已經燒起來了再來打119已經都晚了
這個心態這個觀念我想比什麼都重要
要改變沒辦法百分之百,至少要做到60分
難改的是人啊,相信大家也知道的
sssp116提到:
難改的是人啊
難改的是"老闆", 至於老闆是不是人, 那就不一定了.
michaelwan提到:
至於老闆是不是人, 那就不一定了.
現在醫療單位還要雲端藥例查詢
還要有ADSL醫療專線
你老闆應該覺得反正符合要求就好了
真的出事情的話..........就說那是無心之過吧
個資法上路,資料還是保全點好
不過醫療單位很少只用IP分享器,最少也來個VIGOR居易防火牆吧!
我有比較賤的幾點解決辦法:
看來那個醫療事業體,並不是你的權責單位,建議你明哲保身,
不要多管閒事惹禍上身,如果你怕良心不安,等你離職那天,
給政府醫療主官管單位檢舉一下就好(順便說你也請媒體監督一下主管單位)。
非要給老闆建議,不要用買設備的手段,不但無用還覺得你很煩,
給老闆說要那個醫療系統的廠商簽下割地賠款的資安條款,
既符合個資法的精神,你老闆又不用付半毛錢,肯定誇獎你,
這時那個醫療系統的廠商肯定不幹,自然會跟你老闆據理力爭,
你就可以隔岸觀虎鬥,廠商落敗明年肯定放手不管,沒系統可用
老闆自然跳腳,該花的錢自然就會花了,半點不用你費力。
有邦友建議防火牆相對不重要,我實在要說,最重要的就是防火牆了,
除了想辦法要老闆自動掏錢買公司的防火牆外,你自己也要給自己買防火牆,
不管是文字、錄音、影像都可以,就是不要搞個黑色的鍋子玩就對啦
以上小小建議啦!參考看看嘍!
mytiny提到:
有邦友建議防火牆相對不重要,我實在要說,最重要的就是防火牆了
願聞其詳~
mytiny提到:
有邦友建議防火牆相對不重要,我實在要說,最重要的就是防火牆了,
我倒想把網友說的話改一下, "除了防火牆外還有很多事都要注意".
包括:
這樣防火牆主要用在防外部入侵, 而還有其他方面需要考慮, 整體來看, 防火牆就不是唯一要考慮的項目.
slime提到:
防火牆就不是唯一要考慮的項目
+1
但是『重要性』要具體提出才行~~哪個才是最重要的?
1.責任歸屬
2.責任歸屬
3.以上皆是
我之前的做法是:
寫EMAIL給你老闆建議(可以的話附上中階主管),並附上你的建議,順便CC一份到你的外部信箱作保留證據,等出事時,這封EMAIL就是證據,時間若再拉長一點,可以每半年再發一次,表示你有持續關注這件事~~這樣以後出事也不關你的事情
請提供你環境的網路架構
通常ADSL Router後端接 分享器後,內部IP未作Mapping實體IP,外界的IP是無法連接至內部伺服器的。
請問貴公司的醫療系統有對外開放嗎? 對外是指 除公司這棟大樓外的人員使用???
如果有,你的擔心可能是必要的
如果沒有,代表你半桶水的知識,請不要妄加判斷,提供給你公司錯誤的建議
我會說這麼重,是因為你提出此問題時,並沒有詳加說明你公司內部網路架構。
架構都沒說清楚 , 一昧的提防火牆
分享器中的NAT功能也算簡單的防火牆 , 這點你知道嗎?
呵..呵..提到重點了
Daniel應該忽略了即使網路不對外,但以ADSL連上INTERNET的話,只要內網聯外,就會有高風險,所以樓主的擔心是很合理的。
我剛接手目前服務的公司時,就是遇到沒有在防火牆和分享器都沒有NAT的USER PC被攻擊,被當殭屍,我同事和我費了很大的力氣重建防火牆規則,重裝USER PC...等一連串步驟才改善。
樓主也已經與廠商提出解決方案了,我認為目前重點在於向主管、老闆"溝通"的用語是否太多技術用詞而艱澀難懂,如果已經很淺顯明白,那麼樓主能做的就是留下紀錄證明自己已經善盡職責,也避免被栽贓揹黑鍋。
我覺得提出任何問題,即使在高手來說是很笨的問題,我們實在不該去批評提問者,因為就是不懂才提問啊,就是遇到麻煩才問大家的建議啊~~任何高手都是從新手開始的,不是嗎?
sten大真的是講到我的心聲了,解決方案不是沒有,我這篇主要的用意就是希望有處理過相關業務的先進們,可以分享彼此的經驗,並不是說要問有沒有什麼解決方式,說真的最重要的就是人,是否能有
提供相關的遊說方式,又或者是以一個專案來進行,這都是這篇文章可以跟大家分享討問的用意,也很開心您有幫我點出我的問題,希望未來彼此能一起加油了^^
防火牆是基本中的基本,就像房子的大門一樣,不同的只是大門的花俏程度(笑)
建議你先思考一下你們現在的電腦環境在什麼狀況下會有什麼問題(木馬?病毒?入侵?垃圾郵件?資料外洩?)
找對應的廠商來簡單規畫一下所需成本,並要他們提供相關的資安新聞(重點在於刑責與損失上)
做個簡單的比較表,有做與沒做會有什麼差別
排好優先順序與未來的擴充性,再找主管做個簡報
當然別忘記要不定期發個Mail給主管,提醒這些東西(主要是為了事發後可表明有做到告知提醒)
想要改變,沒有主管甚至更高層的支援是玩不下去的,尤其是在資安這塊【沒事沒感覺,有事痛到死】
如果你做了那麼多,上面還是麻木不仁
那就只剩兩條路了:要碼你也麻木不仁,要碼你換工作
p.s:忘了說,別忘記想想自己想不想或者有沒有時間玩資安,因為很大的可能導入後你要繼續扛著它們~~ XD
先詳細研讀個資法並標註因資料外洩罰則及刑則作成一份報告給老闆, 需含建議處理事項!
最後加註主管及老闆批核(要他們簽回), 這份報告會是你萬一出事的保命符!
小弟看來,
資料應該早就外洩了。
我們公司有專門的網管人員,
專業的高檔防火牆。
可以知道的事實是,
每天都有人在打,
只不過,大部分都打不進來。
但是,小部分仍舊可以成功的進入。
所以,我們還做了第二層保護,就是檢視系統、程式、資料的變動性。
.
貴公司,
不用猜,資料肯定早就人手一份了。
.
個資法的要求是,資料持有之組織,需要有防護之作為;當有作為而資料外洩時,始可減輕責任。
按目前來看,再看看個資法規定,
二者組合在一起,可見;
一旦發生損害,或是被公布洩密的情形,則 貴公司一定破產。
.
故,在責任上,您有義務請上層注意這現象,
但是,為保護您自己,請通知上層時,務必可留下佐證,
例如,以mail方式告知。
假裝回家後想起,於是怕上班時忘記,就先用mail通知。
當然,利用簡訊,也可以按上述方式進行。
或是,
留下證人,例如,故意在別的部門主管前面講,假裝突然想起。
又例如:
在開大會時講,
不用假裝,就直接請主席裁示。
.
再不,就先準備離職,
不然公司突然倒閉,連薪水都領不到。
分享器不重要.....
重要的是在分享器後面的人....
還有你的資料有沒有用處...
分享器與低階防火牆的界限並不明顯
該跑的建議、簽呈都要跑一下,
免得到時候被拿去擋刀,
有個文件證明說當時你有提案說要做,
是上頭沒有通過該案,
個人覺得 "人" 才是資安最大的問題...
如果決策權在你主管身上,
但是他擺明就是多一事不如少一事,
坦白說,你要改變現狀有很大的難度,
做對了,上面的老闆看到的是你主管,
做錯了,責任是你自己要承擔,
我認為你可以把你認為如何加強現有架構的規劃,
以及做與不做的利害關係找時間寫成簡單的規劃書,
然後用 Email 的方式寄給主管,做不做讓他去評估,
但是日後如果真的發生問題,上頭怪罪到你們團隊,
至少你能舉證你曾經指出這些問題,並且提出相關改善方案。