資安?還是人安?

資安
IT 維運
發布于(初稿)

June 30, 2025

日前臺大某準碩士生疑「被駭客取消報到」,惟臺大表示先前從未發生類似事件,且放棄錄取除需當事人帳號密碼,還需要上傳身分證影本,僅以單一個案即推論台大官網有「駭客入侵」或「資安漏洞」,在無證據下難免言過其實。1 綜觀近年來,類似這類的「資安指控」屢見不鮮,但多數情況似乎都未能掌問題的本質和根源,遑論有具體的解決方案。

案例 1:
某跨國公司臺灣分公司有員工離職前,將公司資料轉寄到自己的信箱,總公司由郵件使用記錄中查知此情況,於是「責備」臺灣分公司的IT單位沒作好資安工作。

但該公司的電郵系統係由總公司統一維運管理,相關政策及使用規定亦由總公司制定,分公司的IT人員並未有權限登入管理界面。在此情況下分公司可以有什麼資安作為嗎? 或是這根本是該名員工的個人違規(甚或違法?)行為?

類似上述案例的情況極為普遍。舉例來說,公務員私自將紙本的機密公文掃描成電子檔2, 後來發現網路上竟有人兜售此掃描的電子檔,於是開始檢討機關資安措施,翻箱倒櫃式查各種操作日誌,甚至查核資訊單位人員的「忠誠」,但卻完全忽略問題的本質和根源,因為機密等級以上的公文,按理就不應該存有電子檔,將經過批示的紙本機密公文,私自掃描成電子檔,這個動作本身就已違反規定,甚至有觸法的可能。但當事人或其主管卻經常辯稱,既使是當事人違規掃描,但也是因為機關的資安有漏洞,才造成他私自掃描的機密公文被駭(實際上查了半天,卻找不到資安漏洞的明確跡證),這種甩鍋性的說詞實令人瞠目結舌。

現時針對防範內部資料外洩的作法,業界開始倡議所謂資料外洩防護(Data Loss Prevention, DLP)的工具及設備,其效果如何尚難評斷,惟所費不貲。其次,部署這類工具所衍生的額外作業及可能的副作用(例如DLP與其他系統的衝突及員工通信隱私課題),充其量可能只是一種「維他命」的作用。但據瞭解,ISO27001標準將增加DLP作為驗證的必要控制措施,此著實令人費解。再者,如果員工有心要竊取公司資料,其作法太多了;例如,部隊軍人以手機拍攝機敏資料販售圖利,這種情況DLP能有作用嗎?

案例 2:
COVID疫情期間,臺灣銀行洛杉機分行的行員居家辦公,收到客戶要求轉帳的電郵,因在家無法操作,轉請在辦公室同仁處理。後來發現這封電郵並非客戶所發,寄件者的信箱位址差一個字母,該名行員因為沒看清楚寄件者的電郵信箱,造成銀行損失45萬美元。事發後,臺銀檢視其電郵系統及資安防護措施並無違誤,單純是人為疏失。所以這起事故應屬「被騙」還是「被駭」?

金管會銀行局針對臺銀的這起事故似乎將其認定為資安事件?3 更有所謂不具名資安顧問認為:面對越來越複雜的網路世界,企業都必須要改變傳統資安防護以組織邊界為範圍的觀念,必須要改用服務流程和Cyberspace作為界線,才可能做到比較完整的防護。說實在 的,這段話看不出來具體要作些什麼事?4 是要再增加什麼控制措施,或部署新的防護工具?

但這些作法對於人為的疏失似乎並無任何助益,反而有點類似「A犯錯,處罰B」,也就是「懲罰了沒犯錯的人」。5 這起事故的根因(root cause)單純就是行員被騙了,是人為的疏失。真正要檢討的是:類似的轉帳作業是否有SOP? 如果有,是否足夠週延? 如果有,何以未能落實? 後續如何改進?如果只是按「不具名資安顧問」講的那些虛幻概念或作法,只怕是椽木求魚。

截至目前,臺大準碩士生疑「被駭客取消報到」這起事件似乎尚未有進一步發展,警方宣稱已掌握其登錄執行取消作業者的IP(說是來自南投,而該生曾在中部某大學就讀),按理應該不難查明原委,就讓我們繼續看下去……。期待警方早日查個水落石出,也好釐清此事故究竟是「資安」還是「人安」。

注釋及參考資料

  1. 聯合報,2025/06/11 生控台大網站被駭丟失碩班正取資格 台大:無證據佐證 https://udn.com/news/story/6925/8799051 Accessed:2025.06.30↩︎

  2. 依現行相關規定,「機密」等級以上之公文需要在實體隔離設備製作,不可以連結網路;公文列印紙本後,用來製作公文的原電子檔,基本上不應該再存在,但實務上承辦人為方便後續修改或類似公文參考運用,經常以各種方式複製存檔。這種電子檔通常以原始格式,例如Word檔或OTF檔等,且不會有批示或修改的資訊。而經過陳核批示後的紙本公文,若再將其掃描後,通常是PDF或其他格式,而且會有手寫批示及修改的字跡。↩︎

  3. 工商時報,2020/05/07 公股又出包!行員居家辦公遭詐騙45萬美元 金管會作資安二大示警 https://www.ctee.com.tw/news/20200507700809-439803 Accessed:2025.06.30↩︎

  4. 行員在家上班導致匯款流程未再確認,專家呼籲可採DMARC減少企業接到釣魚郵件風險 https://www.ithome.com.tw/news/137591 Accessed:2025.06.30↩︎

  5. 參閱《創客創業導師程天縱的管理力》pp. 64-69. 從根源解決問題,不要只「打補釘」, 程天縱著,商周出版 (2018)↩︎