批判性思考與資安防護課題

資安
IT 維運
發布于(初稿)

April 30, 2026

資安專家、顧問或決策者,面對資安課題時,大多主張導入最新的標準或架構、部署昂貴的防火牆、AI 偵測系統或加密技術等,但往往忽略了資安最核心、也最脆弱的環節,其實是人類的心智活動與決策邏輯。網際網路先驅 Vint Cerf 曾言:批判性思考是所有防禦工具中最強大的(Among the most powerful of defensive tools is critical thinking.1 這話發人深省,但具體要如何實踐呢?

什麼是批判性思考(Critical Thinking)?

想到批判性這個詞,通常會將其和「否定、找碴」作聯結,但批判性也有「運用技巧的判斷和觀察」的意思;在這種語境下,批判性思考是指清晰及理性的思考方式,可以視作一種自律且需要刻意練習的思維習慣。它要求我們在接受任何信念、數據或技術方案前,必須先質疑假設、尋求證據,並藉由理性的方式進行分析。

在資安領域,批判性思考之所以是「最強大的工具」,是因為它能看穿邏輯上的謬誤(Fallacy)和偏差(Bias)。當導入某種架構或部署某種產品時,具備批判性思考者應該要追問:該架構或產品的邊界條件為何?它是否反而增加了系統的複雜度與攻擊面?它解決的是問題本質,或僅是表象症狀?若缺乏批判性思維,資安防護工作極可能淪為「安全劇場」(Security Theater),意即投入大量資源,展演一場「看起來很安全」的戲,卻在真正的威脅面前不堪一擊。

案例分析:管理失效? 技術問題?

觀察台灣近年來的資安實務,常能發現將「管理失效」包裝成「技術漏洞」的現象,這類現象揭示了組織在面對責任歸屬時,如何透過「資安術語」甩鍋,進行煙霧彈式的辯解。

案例 1:
某機關承辦員私自將紙本的機密公文掃描成電子檔, 後來發現網路上竟有人兜售此掃描的電子檔,於是機關開始檢討IT部門的資安措施,交付外部專家翻箱倒櫃地調閱各種操作日誌,追查駭客入侵路徑等等。同時當事人或其主管甚至辯解,就是因為機關的資安有漏洞,才造成他私自掃描的機密文件被駭(實際上,查來查去並沒有找到資安漏洞的明確跡證,但持續有人主張:找不到漏洞不代表沒有漏洞啊…。)

這起案例在批判性思考中屬於典型的「錯誤因果謬誤」。問題的本質在於「紙本公文不應電子化」的規範與人員紀律理的崩潰,而非技術系統被攻破。當事人辯稱是因為「資安有漏洞才導致檔案被駭」,實則是將其規避流程的違規行為,轉嫁給外部技術因素。檔案之所以「存在」於網路上,是因為當事人先「創造」了不該存在的電子檔。這就像是有人私自複製了金庫鑰匙,然後掉在路邊,卻責怪金庫大門的警報器為什麼沒響。

至於翻箱倒櫃查IT部門的操作日誌,或追查駭客入侵路徑,這種行為的作用,主要是為了給外界或上級看「我們有在做事」,而非針對「為何紙本公文能被私自掃描」這個管理流程的缺失進行補強,無異於在破裂的水管上貼膠帶,卻不設法去關掉水龍頭。

案例 2:
COVID疫情期間,臺灣銀行洛杉機分行的行員居家辦公,收到客戶要求轉帳的電郵,因在家無法操作,轉請在辦公室同仁處理。後來發現這封電郵並非客戶所發,寄件者的信箱位址差一個字母,該名行員因為沒看清楚寄件者的電郵信箱,造成銀行損失45萬美元。事發後,臺銀檢視其電郵系統及資安防護措施並無違誤,單純是人為疏失。但主管機關金管會銀行局卻將其認定為「資安事件」2

這起案例是「被騙」還是「被駭」? 事實上,這是典型的商業電子郵件詐騙(Business Email Compromise, BEC),與一般的釣魚郵件不同 。攻擊者利用的是「人的慣性」與「視覺偏誤(差一個字母)」,而非系統的技術缺陷。系統並未被侵入。系統運作完全正常,是人下達了錯誤的指令。

至於金管會將其認定為「資安事件」,或許是基於廣義的行政定義。在金融監管中,凡是涉及電子通訊導致的財務損失,常被歸類在資安大類下。但這種歸類法容易產生偏誤,讓銀行誤以為增加資安防護措施,例如郵件防護系統或防火牆等,就能解決「行員看不清 Email 地址」的問題。

資安專家與業者的的「操弄」

類似上述二則案例發生時,業者或所謂的專家往往跳出來鼓吹導入各種安全架構(零信任架構…)、更新設備、或部署各種資安產品(DLP, 資料外洩防護、AI 異常行為偵測、次世代防火牆,或郵件防護系統…)。這類行為存在以下幾種批判性思維上的偏誤:

  1. 解決方案主義(Solutionism)的迷思。這類行為預設了「所有的問題都有一個技術產品可以解決」,認為只要有好的工具,就能解決問題。事實不然, 案例 1 的根源是人員違規掃描,再強大的網路防火牆也擋不住一台「離線的掃描機」。如果組織的文化允許人員私自帶手機掃描或使用私人設備,買再多工具都是徒勞。

  2. 非對稱論述與恐懼行銷。業者利用主管機關對「資安」二字的集體焦慮,將「人為疏失」轉化為「產品需求」。這是一種「訴諸恐懼」的偏誤。案例 2 的解決方案可能只是簡單的「雙重認證流程」或「電話確認機制」,成本極低。但業者會將其包裝成需要購買昂貴的「AI 郵件過濾系統」,這在資源配置上是極大的浪費。

  3. 增加複雜度反而降低安全性。批判性思考者會問:增加一個工具,是否帶來了更多潛在的漏洞? 為了防止行員點錯 Email,若引入一套複雜的加密審核軟體,可能導致行員為了工作效率而尋找更隱蔽的「私下溝通管道」,反而造成資安盲點(Shadow IT),造成反效果。

  4. 規避制度性改革。將問題歸咎於沒部署某個產品,或沒導入某種架構,是主管與行政人員逃避「制度改革」最簡單的藉口。 機關不願檢討為何機密文件可以輕易被掃描、不願精簡不必要的行政流程,卻願意花大錢買不確定有無用處的產品,除了前述的「安全劇場」效應外,主要原因還是改革制度會得罪人且曠日廢時。

落實批判性思考作法

呯應 Vint Cerf 前述的觀點,如果要讓批判性思考成為資安防護最有力的工具,避免用昂貴的技術,去掩蓋低廉的管理錯誤,以下是遇到資安防護課題時,組織必須要優先認真看待的具體作法:

  1. 區分「管理失效」與「技術問題」: 發生事件時,先問:系統有沒有按照設定運作?如果有,那就是管理、流程或人的問題,而非技術問題。

  2. 應用奧卡姆剃刀原則(Occam’s Razor): 「如無必要,勿增實體」。在觀察或解釋現象時,若有多個假設,應優先選擇假設最少、最簡單的那個。解決方案應越簡單越好;如果一個確認電話能解決的事,就不該買增加部署無謂的工具。簡單並非絕對即正確,而是幫助在同樣解釋力下排除雜訊,陳現問題的本質。

  3. 檢視底層動機: 當有人推薦產品時,檢視其背後的利益關係,該產品真能解決問題的本質?抑或只是針對徵狀,甚至模糊焦點。他們是在解決你的「痛點」,還是利用你的「恐懼」?

注釋及參考資料

  1. Spafford, E., L. Metcalf, J. Dykstra, Cybersecurity Myths and Misconceptions (Foreword by Vint Cerf), Addison-Wesley, 2023.↩︎

  2. 工商時報,2020/05/07 公股又出包!行員居家辦公遭詐騙45萬美元 金管會作資安二大示警 https://www.ctee.com.tw/news/20200507700809-439803 Accessed:2025.06.30↩︎