台灣駭客協會理事長翁浩正：企業對駭客需有「防禦思維」

台灣駭客協會理事長、DEVCORE戴夫冠爾公司執行長翁浩正，今（4）日出席台灣連鎖暨加盟協會「2023流通經營者高峰論壇」，頗析「駭客無所不在，連鎖服務業強化資安競爭力」。他表示，很多企業都不知道自己有資安危機，因此連鎖加盟業者應有「防禦思維」，也就是讓駭客攻擊者增加成本，或風險變高，那麼防禦就到位了。

他表示，駭客組織犯罪行為，是因背後有一個「黑色產業」，「正因有需求，有利益，才會讓駭客集團進行組織性攻擊。」幾年前有暗網（Dark Web，一般網路搜尋無法找到暗網內容）論壇，販售護照、身分證和帳號密碼，由於暗網匿名性和交易難以追蹤，導致此類犯罪行為層出不窮，且已外流的資料往往收不回來，造成嚴重資安問題。

回顧十年前資安事件，曾發生駭客為出名入侵網站；反觀十年後的今天，網站很少出現這樣的惡作劇，因為駭客目的是為了「賺錢」，尤其虛擬貨幣興盛，讓犯罪交易變得更簡單了，所以「若讓他們（駭客）賺不到錢，那（企業）就贏了。」

很多大企業都有發生過資安事件，有可能因設定疏失，將開發資料外洩；甚至很多人裝家中的網路攝影機卻不知道要設密碼，導致自己隱私被公開，甚至暴露在網路上。

對於連鎖加盟業者的資安挑戰，因店舖分布在多個地點，屬於分散資訊系統，每個地點可能又有獨立資訊系統，導致統一的資安政策和措施實施變得複雜；再來是資訊技術基礎設施不一致，不同加盟店可能使用不同的技術和資訊系統，可能導致資安漏洞並難以維護，他建議，應統一技術基礎設施，可提高整體資安水準。

管理學中有「木桶理論」，裝滿水後會從最短木板開始漏水，若每片木板等同於每個分店，駭客會從最短木板開始攻擊，如何將最低的木板往上拉高，才是做資安的態度。

另外，加盟店應思考，做資料共享和傳輸，開發商安全嗎？一旦發生資安事件，資安開發商是否會提供協助？加上不同店舖做資料傳輸，過程資料是否加密，這都是資料傳輸的議題，要讓駭客無法在傳輸過程取得資料。

再來，加盟店可能缺乏足夠資安培訓和意識，容易成為犯罪者眼中的目標。企業應加強資安培訓和意識，特別是連鎖加盟業者品牌知名度較高，駭客可能容易將其作為目標，把資料加密後進行勒索贖金，威脅不付贖金就公開，要讓業者妥協。

駭客無所不在，連鎖加盟主要強化資安競爭力，除了定期演練，讓員工可以應對各種資安事件之外；再來是保護帳號密碼，確保帳號不會被竊取，也要防止供應商成為攻擊的漏洞，才不會被駭客威脅。