趨勢觀察／華碩集團資安長金慶柏 保密防駭 人人有責

台灣是全球遭駭客攻擊的重災區，上至政府下至企業近年屢屢傳出災情，針對資安防駭，華碩（2357）集團資安長金慶柏認為，資安最大危險因子就是人，因為人的行為最難管理，過去大家熟悉的一句話，「保密防諜，人人有責。」今天，這句話該進化成「保密防駭，人人有責。」

資安事故 風險來自人

從網路問世後，駭客也緊接著出現。第一批駭客屬於炫技，透過駭進大企業或政府機關，藉此對外證明自己的技術實力。而另一種早期駭客，比較屬於宣揚政治理念、意識形態，但隨著網路持續普及，國家力量就登場了，駭客不再只是個人行為，而是已成為國家戰略的一環，於是出現國家型駭客。

根據微軟、Google的調查，全球前幾大駭客國家，如有中國大陸、俄羅斯、北韓等，這些國家型駭客，以竊取機密資訊為主，但現在行為已衍伸出如俄羅斯在網路上操弄美國大選，或是像俄烏實體戰爭還沒開打前，網軍已開始摧毀對方重大基礎設施系統，在虛擬戰場上進行無聲交鋒。

台灣當然也在這場虛擬戰場最前線，輝達執行長黃仁勳曾提出「主權AI」概念，談的是運算能力與模型自主權。而我談的是「主權資安」，比如說有些公部門員工為追求便利性，使用LINE等市面上通訊軟體溝通，但這安不安全？或是政府IT系統有沒有漏洞、有沒有存在「後門」？

現在另一種駭客則是以金錢利益為主要目的，會針對有錢的國家或公司進行駭客攻擊，駭進去之後就勒索金錢。

其實防駭這件事，最大危險因子就是人。我們常講資安有一些關鍵點，如人、科技等，其中人的行為是最難管的、也是最大風險，從全世界的調查來看，發生資安事故有超過一半以上原因是內部員工造成，而非外部駭客攻擊。

以台積電為例，2018年，藏身在台積電新機台裡的勒索病毒「WannaCry」，造成台積竹科、中科及南科等全台生產線大當機、就是因為當時內部員工引進新機台時，沒有遵守SOP。今年又出現台積電2奈米機密資料流向日商的事件，這也涉及到內部員工。

落實防護 全員的責任

資安不是只有董事長、執行長、資安長的事，而是每一位員工的事，公司可以買很多資安產品，內部IT單位建立好幾道護城河，但可能只要有一個員工被不當釣魚，就會被駭客駭進來。

除了人的問題外，當然企業本身也得做好資安基礎建設，「這就好像當有猛獸追趕兩個人的時候，你想要安全逃脫，你只要跑得比另一個人快就好。」因為駭客也會算投資報酬率，會找資安防禦較弱的單位攻擊。

回到華碩自身，2020成立「資訊安全委員會」，橫跨所有一級單位，之後又成立專責單位「數位安全中心」，投入資訊安全與產品安全的完整規劃與推動。

此外，華碩也積極參加外部組織，去年12月加入全球最大資安事件應變組織FIRST，能接軌全球應變網路、參與前瞻議題討論，在處理產品漏洞通報與協調方面，可大幅縮短應變時間。