【商周專欄】台灣微軟總經理卞志祥：好的資安架構可比三代同堂

三月時我陪同台灣企業參訪美國微軟總部，深度探討資安議題與技術，參與者是十幾家台灣上市櫃企業的資安及資訊長。在餐敘閒聊裡，意外發現，幾乎每個人都有親友曾被「詐騙」過，而且手段是常見的釣魚信件或簡訊。 

在企業內部，這種釣魚信件或是社交詐騙，也極為常見，甚至在AI助力下，詐騙型態變得更擬真。前陣子有個新聞，某外商員工接到總部財務長信件，要求將公司本季盈餘匯回總部，為取得該會計人員信任，甚至邀請他加入一場視訊會議作討論，會議中 Deepfake生成的影像與聲音都與財務長相符，員工不疑有他，依指令匯出，最終發現自己被詐。 

AI能仿造你的寫作語氣、聲音甚至樣貌，不只是個人、更讓企業資安風險持續擴大。但台灣很多企業決策者採購資安軟硬體多數先看評比、效能為採購依據。據調查，企業平均採用數十種資安工具，系統間獨立運作、難以產生綜效防禦且管理複雜度大增，反而造成企業更大資安曝險。 

要控制資安風險，仍需倚賴在企業建立起「零信任」的文化、架構與管理機制。 零信任架構最基本的觀念是，每一層的工作者/主機，皆無法向上控制，也不向下曝露。 原因在於，駭客攻擊企業，會有兩種方法，一是由外部直接攻破取得最高權限；或是透過釣魚信件，拿到員工帳號與密碼，後者的成功機率，遠高過於前者。所以企業必須獨立使用者權限，分層管控，不讓彼此有機會成為駭客的跳板。 

這個做法，可用三代同堂的日常來比喻：小孩子需要用錢的時候，他無法直接取得父母的現金 (不向上控制)，他也不會知道父母的整體帳戶狀況 (不向下曝露)；父母對於自己的財務狀況很清楚，但卻也不清楚祖父母或家族全部的資產、更無法動用。 這個概念非常基礎，但台灣九十％的企業可能做不到。 

為什麼？關鍵是便宜行事的人性。假設今天你是總經理直接管轄的下屬，有可能你就會得到他的授信，使用他的電腦權限代執行命令；或是你在家作業，就有機會連回公司數台電腦，而這些，就是破口，需要加強驗證。 這樣的事，在AI時代，會由過去的對三十人嘗試滲透，到現在可同時從三千個人下手，大規模，且快狠準。 

領導者在面對資安風險愈來愈高的此刻，該做的事情，不應只是用零散的工具，解決單點資安問題，而是重新思考，該怎麼從「面」建構起企業的安全防禦網，並將資安納入公司營運管理與風險管控的一環，以增強企業永續經營的韌性。 

本文轉載自商業周刊