遭到綁架你會放棄人質性命嗎?資料被綁架也是一樣... 2020.10.29**

Photo by Jordan Harrison on Unsplash

公司企業的資安也萬萬不可當作一般的總務在處理(壞了就叫修即可...),否則會損失龐大且難以估量價值...


這兩日與一位朋友聊天,他是室內裝潢公司的老闆。

他說公司最近被駭客用綁架軟體攻擊,公司的所有資料都被鎖住,他求助於各大資安或專家都無解,非常困擾!他只能被迫繳納贖金來換回公司珍貴的資料...

他為了與駭客談判,都必須半夜在網路上對話。
根據判斷應該是屬於東歐一帶的駭客集團。

交付贖金必須使用比特幣,這也合理,用比特幣才無法追蹤資金流向,防止被警方追查到...科技帶來便利及隱私,卻也給予邪惡犯罪集團安心的保障。

風涼話的無用建議

他為了公司10幾年來的寶貴資料東奔西跑詢問各方專家,甚至詢問政府有關資安、法律的相關機構,但得到的答案居然大多是: 

「建議您把電腦全部清空、洗掉、Formate...,並拒絕與駭客談判或付贖金...」。

這句話好像很有道裡,但其實是個最無用的廢話。

就是因為資料寶貴無法丟棄,才試圖不斷地花精力去挽回,一句「建議你把電腦資料刪除!」實在是完全沒有站在受害者立場說的風涼話。

「拒絕與駭客談判或付贖金...」這句話也是同樣的意思,若資料是可以輕易割捨的東西,誰希望跟駭客談判、付贖金呢? 

我們換個模式思考好了,若被綁架的不是資料,是受害者的親人,你能說「建議您放棄親人不要管他的生命安全,並拒絕與駭客談判或付贖金...」嗎?

50%的成功率的殘酷現實

聽說就算與駭客談好付了贖金,資料救回的機率也僅是50%而已,也就類似「撕票」的意思,如果遇到這種手段惡劣、盜亦無道的綁匪,真的是搥胸頓地、欲哭無淚啊!

資安公司的合作模式

我問他:「你沒有跟大型資訊公司合作購買網路安全預防及定時維護嗎?」
他說:「當然有啊! 每個月都要繳維護費的!」
我說:「既然這樣,花了錢聘僱資安公司維護,還依然被駭客綁架,那可以請資安公司負責賠償啊!」
他說:「沒有辦法....」

資安公司無法賠償的概念

預想一、資安公司無法賠償你的損失,因為你的資料價值並不能預估

舉例來說,我們在郵局寄信,若郵差不小心弄丟你的一封郵件,頂多只能賠你一小筆錢(如下例),你若說你的郵件價值千萬,郵局也不會理你,只會依法賠償。

摘自郵政法規: 
國內包裹及國內快捷郵件遺失、被竊或毀損之補償金額,依下列規定: 單件以重量計費者: (一)五公斤以下者,不逾新臺幣五百七十五元。 (二)超過五公斤至十公斤以下者,不逾新臺幣八百六十五元。

所以就算資安公司認賠,絕對不會賠償得使你滿意,你的資料若是無價的智慧財產,更是難以估量其價值。

預想二、上述預想一只是我舉的例子,事實上資安公司根本一塊錢都不會賠你,為什麼呢? 

聽聞法務人員的說明,我把他的話簡易化舉例(若曲解他的本意或與法律不符,請各為指正,本人不是法律專長者。):

你能向商人購買武器來防範敵人;但強大的敵人突破你的武器防線,而傷害了你,你無法把責任歸咎於賣你武器的人,只能怪自己。

大意應是如此,我覺得應該淺顯易懂,若有法律背景的朋友可給予指正,我這裡只是閒聊性質。 

我個人覺得就算再強大的資安公司也不敢保證自己絕無漏洞,畢竟一山還比一山高,網路程式駭客功力無遠弗屆,沒有不能擊破的銅牆鐵壁!資安公司只能擔保抵抗多少%的攻擊,但應該不敢承諾「絕對安全」這件事,所以在法律層面,資安公司都應該站得住腳才敢營運,否則不賠死才怪啊!

我賣你球棒,你擋不住有功夫的人。
我賣你刀子,你擋不住有槍砲的人。
我賣你槍砲,你擋不住恐怖分子更強大武力。

我賣你什麼,跟你擋不擋得住敵人沒有絕對關聯,我只負責賣你產品,還有說明產品的功效,但你需要什麼只有你知道,擋不住敵人跟我沒關係...

從這方面道理邏輯去思考,就能清楚資安公司應該是不會賠一毛錢的。

駭客最喜歡攻擊政府單位

據說駭客綁架集團最喜歡攻擊各國政府組織的電腦,試想民政、交通、司法等等單位的資料一被鎖住,你能「建議您把電腦全部清空、洗掉、Formate...,並拒絕與駭客談判或付贖金...」嗎? 當然不行,沒資料國家就亂套了!聽說政府只能乖乖付天價贖金,而由人民稅金買單,這種事一定會被隱瞞,絕不能讓媒體知曉,否則就會被人民罵翻天了。 

只要遇到一次此類問題,保證畢生難忘

資訊安全真的很重要,公司企業的資安也萬萬不可當作一般的總務在處理(壞了就叫修即可...),否則會損失龐大且難以估量價值。我聽了朋友栩栩如生的述說這一段經歷,可以看得出他心力交瘁,他現在不得不正視資安的重要,開始花了很多精神找尋備份模式及各種方案的解決之道,因為他已無法再承受一次這樣的打擊了。

公司企業的資訊安全重視

公司的網路、資料備份等等及各式解決方法為何不能當作壞了就叫修、如同總務一般處理呢?因為資安是「預防勝於治療」,把這種任務完全交給資安公司是不OK的(如同我上所述),公司配置的MIS資訊專員有這方面的專業知識且能知道公司內部的實際需求(如分辨公司內部資料的重要性等級區別等等,這是外部人不會曉得的事),有責任將整個管道整合暢通,公司的資訊才能保有真正的安全,這是對各個不同企業量身訂做、應需求而隨時改變的方法。

有很多公司都省略MIS人員,其實這樣暴露了很多問題,等到發生如同綁架這一類的事件,就會千金難買早知道了。 

不過,最重要的關鍵,是公司的領導階層必須要有這樣的觀念,MIS人員與資安公司的職責才能得以發揮,防患於未然,否則一切都是空談。

私人的資訊安全

說起我們私人電腦的資料,雖然重要性無法與外人道(外人不知價值),但都是自身無比珍惜的,譬如照片、日記等等的無價之寶,建議大家一定要有備份觀念,而且要多方存放,雲端硬碟和不能上網的實體硬碟都要備份,而且都不能只備份一個地方,否則雲端公司倒閉,實體硬碟突然損壞,就完全無計可施了。 

資訊安全非常重要,在職場在個人,都是現代人必須要重視的知識,與大家分享這個重要觀念。

文2020.10.29
增修2021.10.29

沒有留言:

張貼留言

大峽隨筆推薦文章

法朗克《交響變奏曲》平實又有深度的作品 2020.6.4**

https://www.artic.edu/artworks/20684/paris-street-rainy-day Paris Street; Rainy Day Gustave Caillebotte (French, 1848-1894) 法國作曲家 法朗克 (Cés...

大峽熱門文章