∎ 本文經作者授權原載於《經理人月刊》，點此看更多專欄文章。

熱門韓劇《非常律師禹英禑》有一集探討到資安議題，劇中電商平台因遭駭客鎖定、進行「魚叉式網路釣魚」攻擊而造成千萬筆用戶個資外洩，遭到韓國廣播通信委員會重罰 3000 億韓元，同時陷入商譽危機。

釣魚攻擊至今仍是企業最擔心的資安攻擊手法之一，攻擊者透過社交工程（編註：透過騙術，使人泄露機密資訊）了解被鎖定用戶平日的聯絡對象、工作內容或說話口吻，假冒成工作往來對象寄送釣魚連結或夾帶惡意程式的附件，讓受害者防不勝防。

駭客常用錯誤拼寫、字符替換等方式製作假網域，將惡意程式埋藏在連結或附件中，誘騙使用者上鉤。 圖：自由系統。

「人」才是企業資安中最脆弱的一環

我們曾經協助某客戶執行釣魚信社交工程演練，結果發現：不到 4 小時，就有 6 成的員工會因為一杯星巴克，就把公司帳號和內部資訊交出去。這份報告讓其董事長馬上意識到員工資安意識的嚴重性。

只要有一個疏於防範的員工，駭客便有機會能夠找到資安破口，進一步竊取機密資料、盜用帳號、潛入內部環境並發動更大的攻擊。因此我們經常說， 再好的防盜系統，都擋不住有人開門讓小偷進來！

防範「內賊」並不是唯一行動準則，解決資訊使用上「規範」和「人性」之間的衝突才是終極目標。曾經發生過另一個案例：某客戶主管擔心系統登入安全性，要求員工頻繁更換密碼，且每組密碼皆須符合高複雜度。結果主管自己因為記憶困難，便將多組密碼寫在便條紙上。我無奈問他：這不等於是把鑰匙放在門鎖旁邊嗎？其實這個問題很好解，企業只要善用單一登入（SSO）和多因素驗證（MFA）技術，便可讓員工只需記好一組密碼，且確保每次登入的都是員工本人。

∎ 延伸閱讀 | 經理人觀點：金管會資安法上路，未來資安長要如何有效組織資安戰力軍？

企業主該有的覺悟和作為

資安廠商 NordLocker 曾經建議企業如何防治攻擊，包含與資安專家合作建置資安防護機制、建立運作順暢的備份機制、偵測釣魚信件並加強 email 保護、重視資安法遵與稽核要求、加強企業內部教育訓練、時時保持軟體更新到最新版本等等。

表面上很多是技術問題，其實企業主扮演著更關鍵的角色，若是缺乏高層的重視和政策推行，資訊及資安部門實也孤掌難鳴。 因此企業主應該先做到這 3 件事：

一、資安即「保險」，管理和技術應並重

端正心態是第一要務。資安在數位紀元是有積極意義的投資發展項目，切記花小錢，省大錢。以損失期望值的觀念來評估可接受的災損極大值、釐清防護標的與重要資產之優先順位，並提撥合理的資安預算、擬定安全性管理策略，這些都是企業最高主管需要主動納入企業營運與管理方針的課題。

值得注意的是，千萬不可落入「資安就是砸大錢」的迷思。資訊安全的核心在於「解決問題」，也就是說「長期人為管理」才是關鍵，駭客的攻擊行為不斷在進化，加上每個產業也有不同的業態情境，絕對不是導入某項解決方案就可以高枕無憂。企業主必須慎選供應商和工具組合，跳脫產品功能，看到服務綜效。

二、平衡管理上的「便利性」與「安全性」

使用者在乎的是資訊系統好不好用、便不便利，但管理者關注的是控管權限、限制應用以避免門戶大開。舉例來說，有些公司會為了避免員工誤觸釣魚網站，在內網寫規則限制連線導向，這對員工來說便是「安全性凌駕方便性」的管理政策。尤其是當遠距辦公成為新常態，怎麼讓員工在家工作也能有效率又安全，更是值得重視。

值得注意的是，除了過度限制員工的使用行為，若未給予工作所需的環境和資源，如：企業級的協作雲端、順暢的網路，也可能造成員工跑去咖啡廳用不安全的 WiFi 連線，或是把機密資料上傳到個人雲端等鑽漏洞行為。除了可以降低他們「出怪招」的機率，提升生產效率的同時，也增加資訊人員對整體環境的控管能力。

三、提升員工資安意識

資安意識是現代工作者的數位素養，勢必要由企業主帶動這項風氣，定期舉辦相關宣導講座、教育訓練，都已是許多企業的例行公事。

很多資安意識都是由小習慣養成的，像是不要把密碼寫在便條紙上、不要把客戶資訊傳到 LINE。例如我們公司為了提倡「零信任」的網路安全概念，發起了一項非強制性運動：只要有人離開位置不鎖螢幕，同事就會用他的電腦發信請大家喝飲料。結果也確實養成員工盡責「保護」公司電腦和帳號安全的習慣。

大多數的企業經理人，平時不在意資訊管理或資訊安全的問題，以為這是IT和技術部門的責任，使用者更不會在乎資安問題。其實在資安這個議題上，反而更應該由企業主帶頭發起整個企業的資安管理流程。使用科技的是「人」，問題往往出在「人」身上，技術只能解決已發生的問題，或是資訊環境中的可知問題，但長遠來看還需要落實資安的政策管理，從人本角度出發建立平衡的資訊使用制度。

∎ 延伸閱讀 | 金管會資安法上路，未來資安長要如何有效組織資安戰力軍？