跳過主内容

【商周專欄】台灣微軟總經理卞志祥:好的資安架構可比三代同堂

三月時我陪同台灣企業參訪美國微軟總部,深度探討資安議題與技術,參與者是十幾家台灣上市櫃企業的資安及資訊長。在餐敘閒聊裡,意外發現,幾乎每個人都有親友曾被「詐騙」過,而且手段是常見的釣魚信件或簡訊。 

在企業內部,這種釣魚信件或是社交詐騙,也極為常見,甚至在AI助力下,詐騙型態變得更擬真。前陣子有個新聞,某外商員工接到總部財務長信件,要求將公司本季盈餘匯回總部,為取得該會計人員信任,甚至邀請他加入一場視訊會議作討論,會議中 Deepfake生成的影像與聲音都與財務長相符,員工不疑有他,依指令匯出,最終發現自己被詐。 

AI能仿造你的寫作語氣、聲音甚至樣貌,不只是個人、更讓企業資安風險持續擴大。但台灣很多企業決策者採購資安軟硬體多數先看評比、效能為採購依據。據調查,企業平均採用數十種資安工具,系統間獨立運作、難以產生綜效防禦且管理複雜度大增,反而造成企業更大資安曝險。 

要控制資安風險,仍需倚賴在企業建立起「零信任」的文化、架構與管理機制。 零信任架構最基本的觀念是,每一層的工作者/主機,皆無法向上控制,也不向下曝露。 原因在於,駭客攻擊企業,會有兩種方法,一是由外部直接攻破取得最高權限;或是透過釣魚信件,拿到員工帳號與密碼,後者的成功機率,遠高過於前者。所以企業必須獨立使用者權限,分層管控,不讓彼此有機會成為駭客的跳板。 

這個做法,可用三代同堂的日常來比喻:小孩子需要用錢的時候,他無法直接取得父母的現金 (不向上控制),他也不會知道父母的整體帳戶狀況 (不向下曝露);父母對於自己的財務狀況很清楚,但卻也不清楚祖父母或家族全部的資產、更無法動用。 這個概念非常基礎,但台灣九十%的企業可能做不到。 

為什麼?關鍵是便宜行事的人性。假設今天你是總經理直接管轄的下屬,有可能你就會得到他的授信,使用他的電腦權限代執行命令;或是你在家作業,就有機會連回公司數台電腦,而這些,就是破口,需要加強驗證。 這樣的事,在AI時代,會由過去的對三十人嘗試滲透,到現在可同時從三千個人下手,大規模,且快狠準。 

領導者在面對資安風險愈來愈高的此刻,該做的事情,不應只是用零散的工具,解決單點資安問題,而是重新思考,該怎麼從「面」建構起企業的安全防禦網,並將資安納入公司營運管理與風險管控的一環,以增強企業永續經營的韌性。 

本文轉載自商業周刊