防範網路犯罪如同一場精采絕倫的警匪劇,
尊重和包容多樣性又如何在防範網路犯罪扮演關鍵角色?
很多人認為在網路安全領域工作既枯燥又無聊,但Diana Kelley對這樣的言論不以為然,畢竟,她的職業就是致力保護數據和預防網路攻擊。
「我認這份工作是IT領域裡最有趣的。工作時就像在解一個迷人的難題。有點像影集「法網遊龍」裡的主角們破案的過程,只是他們找到的是一具屍體,而我們發現的是網路漏洞。」Diana說。
「我們在研究網路漏洞時,會徹底地把前因後果思考一遍,而且有時我們發現問題真正的原因,跟我們一開始懷疑的完全不一樣。」
身為微軟全球資安技術長 ,Diana望盡可能幫助那些來自各行各業的人排除對這個領域的誤解。而要做到這點,就需要新的思維和創新模式。
透過在團隊中建立多樣性和包容性,一間成功的公司會更了解怎麼去服務不同的客戶。對網路安全團隊來說也是如此,他們也需要在團隊中建立多樣性和包容性,才能更容易預測和防範各式各樣、五花八門的攻擊。
「網路犯罪者來自世界上不同的地方,擁有各式各樣的背景,而且每個人犯罪的心態都不同。」Diana說。「他們互相合作並使用非常多樣化的攻擊技術來對付個人,公司和國家。 這也促使我們發展出一套非常多樣化的保護和控制機制來防範。」
對網路安全團隊來說,了解攻擊者怎麼思考和行動很困難,特別是如果這個團隊是由一群擁有相似背景、相似看法的人的所組成。正是這種『一致性』造成了某種『集體思維』,進而導致盲點和偏差。
不同觀點的力量
「如果一直不停地用同樣的方式思考,我們只會得出相同的答案。唯有在不同的觀點出現時,才能有效找到解決之道。」
Diana表示,攻擊者來自四面八方,又在不同的環境運作,所以網路安全團隊需要盡可能地符合這種多樣性。然而,目前世界上組成網路安全社群的成員卻缺乏這樣的特性。
「不管你在世界上個地方,從事網路安全工作的人大約90%是男性,而且他們往往都是白人。」「在亞洲情況會更明顯,只有約9%是女性。」Diana說。
隨著全世界對網路安全需求大幅的提升和技術人才的長期短缺,這樣的模式迫切需要改變,而Diana認為現在是好一個機會。
「既然我們在招募人才方面遇到一些困難,那麼我們為何不建立一個更多元化和包容的社群來解決這個問題?」
她在近日參訪新加坡時受訪時指出,新加坡是全球挖角網路安全人才的重點城市之一。但其中一個主要問題是性別比例不均,儘管許多高薪工作不斷釋出,但女性大都不會去爭取網路安全相關的工作,正在這個領域工作的女性也不多。
解決性別比例不均的問題
「我大約30年前進IT產業,當時在電腦科學領域的女性人數整體來說很低。」Diana說。 「當時,我還認為這種情況會隨著時間而改變,但事實並非如此。」
研究指出,許多女性在中學或高中放棄STEM科目(Science科學,Technology科技,Engineering工程和Math數學)。 有些女性大學畢業後進入這些行業,但是很多人最終還是選擇離開,原因跟職場工作文化有很大的關係。
「這些領域的人才流失率很高,所以我們需要提升學習STEM的價值。另外,我們還需要為正在這個領域工作的人們,創造更具有包容性的工作環境。」
兩年前,Diana加入微軟。從那時開始,她一直對微軟尊重不同觀點和鼓勵包容的企業文化感觸很深,這是她在其他公司中從沒感受過的 。「雖然不是每個想法都是很好的。但這並不代表可以隨意嘲笑或駁回別人的想法。每個想法都需要被尊重。我和一些女性聊過,他們覺得自己沒被重視或受到尊重,所以不想留在IT部門。」
引進不同背景的人才
Diana說,除了解決性別不均的問題,還有很多方法可以建立多元化和包容性。而微軟的努力又再次讓她印象深刻。「我們是需要更多女性加入,但同時也需要吸引來自不同社會和職業背景的人們。」
「舉例來說,我們的團隊-微軟的網路安全解決方案小組,正在尋找一些人才,他們過去可能沒有從事過網路安全方面的工作,但對科技有濃厚的興趣,也擁有其他專業。所以這也是我們創造多樣性的一種方式。」
Diana講述了她自身進入這行業的經驗。她在青少年時期就著迷於電腦和軟體,特別是當她發現網路的安全性其實非常脆弱。
後來她取得了一個與科技毫無關聯的大學文憑 – 由英語系畢業。一開始她大多從事編輯性質的工作,但因她能很快熟練掌握科技,讓她成為了辦公室裡的「IT專家」。
「然後有一天有人對我說,Diana,你天生就該待在IT領域,我們也正在招聘。就這樣,業餘愛好並搖身一變成為了我的正職。」
一次,在她剛剛建好的一個區域網路被破解時,她便一頭栽進了網路安全領域。「為了不讓那些不安好心的攻擊者得逞,我致力成為一名網路安全人員,專心投入於建立網路安全架構。」
我們需要多元化的思想家
展望未來,她希望更多領域的求職者能夠把在網路安全領域工作納入職涯選擇,即使他們也對STEM領域沒興趣。
「我們需要不同思想與背景的人才,例如,了解心理學的人,可以幫助理解這些攻擊背後的心態,擁有強大法律知識的人,來解決道德和隱私的問題。我們還需要一些政治頭腦,幫助我們了解並進行遊說。」
網路安全世界需要更多擁有無私精神和同理心的人。「我們進入這個領域無非是想做對的事情,保護數據就是保護他人,這部分非常重要。而這點也助我們形成一種改進模式。」
她解釋說,網路安全專業人員創建系統時,還必須製同時製作威脅模型分析。他們需要站在攻擊者的角度思考幾個問題,如果我是攻擊者會怎麼做?我要怎麼去破解這個系統?這個系統會被用什麼樣的方式破解?這樣的思考模式可以讓研發人員更了解如何讓網路系統更能抵抗攻擊。
與此同時,她也希能夠透過自身經驗來揭發一些被過度崇拜的網路駭客。
以前那些穿著帽T,獨自待在房間以當駭客為樂的聰明孩子或多或少已經不存在了。如今,只有少數的人是為了好玩而有惡作劇心態。某些利用技術促進政治議程或社會變革的所謂「黑客行為主義者」也只是少數而已。
更多時候,這些網路犯罪份子的背後有錯綜複雜的政治單位在支撐,他們藉著網路犯罪份子,來瞄準政治對手的弱點進行目標性的攻擊。各國政府都擔心公民的數據被濫用。但他們更擔心的是這些份子會破壞重要基礎建設的安全,例如攻擊電力和運輸系統。也因如此,軍事戰略家已經把網路戰爭和陸、海、空的戰爭歸納在同一個等級。
換句話說,大部分的網路犯罪者是為了錢而犯罪,這種行為跟榮耀扯不上關係,也不值得大眾去關注。
Diana表示,「我們不需要崇拜網路犯罪者,他們大部分都來自大型犯罪集團,有意圖的獲取人們的數據來傷害我們和我們身邊的人。」
