本APNIC文摘原標題為Strength together > weakness apart,由Andrew Cormack撰文。
事件應變及安全團隊論壇(The Forum of Incident Response and Security Teams,FIRST)定期舉辦年度會議,宣導全球電腦安全事件通報團隊(Computer Security Incident Response Team,CSIRT)互助協作的重要。今年的年度會議於6月26日至7月1日於愛爾蘭都柏林舉行。本篇為作者Andrew Cormack針對會議期間,與本次會議主題「團結力量大」(Strength Together)相關的場次留下的心得紀錄。
信任還是互惠?
今年FIRST會議的主題是「團結力量大」。Cormack提到,自1999年他首次參與會議開始,大家都同意合作的基礎是「信任」。然而,信任極難定義,律師、電腦科學家和心理學家對信任的解讀都不一樣。他於是開始思考,是否可以從別的角度去看待安全和事件應變。
Cormack分享,他開始加入全球事件應變社群時,為了盡快融入、不冒犯他人,花了很多時間觀察別人。他因此發現大部分的關係其實是建立在「如果花時間在你身上對我有好處,我就願意花更多時間」。這種合作關係可能會催生信任,但實際基礎仍是互惠。
有些人可能認為「信任」和「互惠」只是語意上的差異,但Cormack認為這個區分很重要。誠如會議中Wendy Nather的專題演講所指出,一個組織下一次遇到的安全慘案可能來自另一個他完全沒聽過的單位——某個無名軟體程式館、某個安全供應鏈中的廠商,或某個僅是基於組織周邊功能需碰到資料的處理者。在這個全球服務供應商會因為網路攝影機遭駭而停擺的世界,「團結力量大」的概念需要大幅擴及那些我們沒有建立信賴關係的人或群體。在緊急事件中,「是否值得信任」的標準或許太高了。Cormack認為,「其他人或團體知道對方」是更適當的基準。
他更指出,在艱困時期,動輒提出「信任」或「社會責任」,反而可能弱化合作的重要。贏得信任難,失去信任卻容易。當合作事關組織營運,失去合作關係的後果將難以承擔。會議中,某場座談提到「社會責任」應是分享資訊的動機。但Cormack認為,如果資訊共享只仰賴責任感,就容易面臨相關預算遭刪減的困境。他強調,合作是「必要」,不是選擇。
歐盟執委會的NIS 2草案中表明,有效的網路安全合作現在無論對個人、組織、經濟或整體社會都至關緊要。Cormack呼籲大家儘速正視合作之於改善整體數位環境的必要,否則很快我們都將共同蒙受其害。
安全不足是所有人的問題
Wendy Nather的專題演講也提及安全貧窮線,並說明為何在貧窮線上的人應該和位於線下的人一樣憂慮。保護系統和資料的安全需要資源(工具和人力)、懂得有效運用資源的專業人才,以及充分發揮影響力以克服障礙的能力。
但市面上現有的指南、工具和實例,目標讀者都是安全貧窮線上的人。這在安全威脅會影響整個數位環境的現在是個問題。當代網路安全威脅已經不適用「躲避飢餓的熊」的比喻,而是「污染」;也可以說,每個人身後都有一頭熊。就算單一組織的安全防護做得再好,也可能因他們自己都不知道有在使用的軟體或服務,或完全無關的裝置而受害。在供應鏈安全事件頻仍的當代,協助改善他人的安全也是在保護自己。
Cormack認為,要達到「保護他人就是保護自己」的境界,應超越「提升意識」,而開始提升「能力」。小型組織無力負擔頂級的安全軟體或人才,而對兼職的系統管理人員而言,提供所有進階安全選項的操作介面可能無助於辨識、解決問題。開源軟體聽起來很棒,但若算進請專業人力安裝、設定並營運的開銷,其實也不便宜。對於「最基本的安全工具有哪些」這個問題,可以出現4種到31種的答案。Cormack觀察,最基本的要求應該是「支付卡產業資料安全標準」(Payment Card Industry Data Security Standard,PCI DSS),但對很多只使用市售安全工具的小企業,就連這可能都是強人所難。
「污染」的比喻彰顯未來風險,無論是信譽或安全的威脅,都是大家一同承擔。若個人使用者對數位系統和服務失去信任,所有人都將連帶遭殃,絕不僅限於出問題的那一方。過去幾年來,政府開始幫忙處理「普通」的網路安全威脅,而不再局限於國家級的高級威脅。
作者最後呼籲所有位於安全貧窮線上的人,開始思考可以如何付出;諸如協助他人減少事件、協防應變或記取教訓,都可以進一步幫助改善整體的安全和信心。
*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為Strength together > weakness apart。
