壹、金管會規定
1、公開發行公司應配置適當人力資源及設備,進行資訊安全制度之規劃、監控及執行資訊安全管理作業。符合一定條件者,本會得命令指派綜理資訊安全政策推動及資源調度事務之人兼任資訊安全長,及設置資訊安全專責單位、主管及人員。
2、前項一定條件,由本會定之。
高官們一紙命令出臺後,網路隨即出現突兀的非主流民意:
旨在為高官們去公營事業任職鋪路!
網友們的離經叛道臆測到底有無道理呢?
貳、各政府機關資訊軟體招標規定
必須通過「OWASP top 10弱點掃描」。
投標廠商取得越多資安證書,可獲得越高評分,越有利得標。
這些 標準 要求到底有無實質作用呢?
跟隨群眾在螢幕上圍觀 2300萬筆戶役政個資外洩案後,我判定 這些招標規定的效果接近零 。
承包戶、役政資訊系統的廠商是老牌大型上市公司的資訊部門。它們即使擁有5張、10張資安證書,我也不會感到驚訝。但是已曝光的外洩案證明:
這些資安證書徒具迎合外行IT學者、政府官員、公務員所好用途,毫無實質用處,一堆廢紙而已。
吳宗憲在遊戲節目中脫口說出令我震驚的智慧:
方向不對,越努力,離目標越遠。
外行的「最有利標」評分委員、官員、公務員們不具最起碼資安專業,你寫我抄,全部使錯力。卻擁有特權要求投標廠商浪費資源去自我鍍金,要求廠商在牆壁上懸掛表框的「資安認證書」,否則,廠商的施工能力即使再強,都別想承包資訊系統或網站等軟體公共工程。
無數官員、公務員、IT學者與專家們迄今皆未明白的資安常識與真相:
大規模結構性的資料外洩,最可能的漏洞是【內神通外鬼】
- 資訊應用軟體設計漏洞不太可能提供外賊(cracker的誤稱「駭客」)這個方便。所以,可以廢除【top 10資安弱點掃描】要求。
- 諸如客戶服務人員、坐櫃台的接待人員、辦公室裡面的職員…等前線資訊軟體使用人的嫌疑最低。
擁有資料庫讀取權的資訊人員嫌疑最大。
某日接到一通電話,
對方:
你是不是張三?
我:
您哪位?
對方:
這裡是凱達格蘭大道派出所。你認不認識李四?
事實:
- 對方知道我的正確姓名。
- 對方提及的派出所是離我住所第二近的派出所。
推測:
- 對方可能知道我的住址、生日、家屬姓名與生日。
- 歹徒並非盲目撥打詐騙電話,而是在撥打之前依據結構性資料而編造具邏輯性詐騙台詞。
- 數十、數百則名單的小規模資料對詐騙集團而言缺乏購買效益。
經驗:
- 非擁有資料庫讀取權的人員難以供應【大規模】【結構性】資料。
- 擁有資料庫讀取權的人員可以依照買方要求條件,執行一道SQL SELECT指令,3秒鐘內篩選出有效資料,下載並販賣。
組織的資安確實重要!尤其國防部門,應依照下列三項作為,按 有效性自低至高 強化資安:
一、廠商提高軟體與基礎設施品質
甲、應用軟體,也就是軟體程式的細節,諸如:
- SQL injection attack
- cross site scripting attack
- buffer overflow attack
乙、基礎設施,infrastructure,諸如:
- 作業系統(Operating System, OS)參數:例如關閉port?關閉login prompt?
- Email伺服器軟體參數
- 網路規劃:是否設置private network、防火牆?
- 通訊協定:例如TCP port?Unix domain socket?IPsec?
二、公務機關尤其國防部應全面禁用Windows
少有「最有利標」評分委員、官員、公務員知道:自己每天在使用資安超級漏洞,間諜OS,M$ Windows。
其餘知情者才是IT菁英,可惜!可能擁抱M$產品最有利其個人收入,導致缺少講真話的道德勇氣,喪失職業道德。
套用「間諜」字眼在外國私人企業商品上面,必須有依據!
小學老師教我的邏輯課:宜適當質疑
一家公然在軟體設置後門的外國私人企業,有無可能遵守商道、講究誠信,不暗藏後門、不竊取各國政府與國防機密?
間諜軟體商創辦人的真面目
人人景仰「在車庫發明OS的天才」,這篇 IEEE文章 卻這樣寫:
Gary Kildall早在IBM個人電腦硬體出現前已經撰寫出個人電腦作業系統CP/M給許多玩家去玩。
Kildall指控:比爾蓋茲的微軟公司自一家名不見經傳的小商店購得的DOS作業系統並轉賣給IBM的DOS核心程式碼,係全部抄襲他的CP/M,侵害到Kildall的智慧財產權。
微軟公司販賣DOS作業系統給IBM的當時,比爾蓋茲的老媽是IBM董事會高階主管。
Kildall於52歲神秘死亡。其神秘程度不亞於為何Kildall無法賣他的CP/M給IBM而蓋茲卻有能力賣DOS給IBM。
蓋茲賣軟體發大財後,開始扮演「慈善家」。
首先去非洲設置生化實驗室,說是要改善非洲人的抗毒能力。結果呢,不知道HIV、伊波拉病毒先出現,還是蓋茲的實驗室先蓋好,反正病毒與蓋茲二者如影隨形就是。媒體廣為報導,說死了不少非洲人。
接著,蓋茲於2010年 在TED這樣大放厥詞 :
地球人口太多了!透過新疫苗、衛生、節育等優質措施,我們可以減少10%~15%人口。
「慈善家」說到做到!果然自2020年起,透過各國政客之手伸進國庫,左手收取天量國庫現金,右手傾銷天量成份不明小藥瓶Moderna莫德納給各國政府,唆使各國不肖政客,連拐帶騙,注入無數無知民眾體內,導致無數死傷原因不明、發病年份不明、出現具爭議性的無數後遺症。
一名前科累累,未曾進入身心矯正所接受管訓過的壞痞子有可能自發性幡然悔悟?
答案如果「是」,矯正署可廢、監獄應即日拆除!
少數軟體商企圖向企業多撈一些錢,也改行當慈善家,跟著跨國壞蛋們炒作「碳中和」假議題,實質惡化企業客戶損益表。
在包含臺灣軟體商在內的跨國集團的努力之下,終於扭轉他們口中的
地球暖化導致南、北極冰融化,使得海平面上升而淹沒一些小島和低窪地區
「災難」趨勢,完成長期低潮導致義大利威尼斯一些小運河乾涸階段性目標:
Zero Trust
外國IT界最近有人在推銷「Zero Trust,零信任」概念。我沒時間也沒興趣去瞭解其具體主張,懶人我的猜測:
資安嘛…就是不要盲目信任任何人、機關、軟體、硬體!
事實:
100%臺灣公務機關,包括國防部,全部使用Windows 10、11以及未來的12、13…。完全違反【零信任】原則而行。
而且,在諸多軟體公共工程招標案暗示或明白規定: 伺服器OS必須使用Windows Server。
這項指控有無依據?
有!
筆者投銓敘部退休公務員撫卹金管理委員會的 會計系統建置標案 ,於2023–05–02日向評審委員簡報。簡報後,一位貌似會計背景的評審委員首先發問:
你的建議書寫:不使用Windows做伺服器。不符招標規定。請說明!
另外兩名貌似資訊人員提問約5資安相關疑問,包括本專案哪些參與人員擁有哪些資安證書等。
勒令廠商「拿出你的資安認證書!」的無數官員、公務員們自己於2015年起違反各項資安規定 — 自己使用、要求廠商使用間諜軟體Windows。
三、資訊廠商加強公司治理
如前述:大規模結構化資訊外洩主嫌是擁有資料庫讀取權的人員。
那麼,資訊廠商應如何防止這最大資安漏洞?
1、執行嚴厲行政措施
- 禁止攜帶手機、平板電腦、USB記憶棒、數位照相機等具資料儲存能力的設備,進入電腦機房、資訊部門辦公室。
- 電腦機房大門、資訊部門辦公室大門設置警衛,人員出入,一律搜身。
- 封鎖internet,令資訊人員無法聯繫外界任何機器、無法學習包括本文在內的硬核(hard core)IT技術。
- 留下必要插座,拔掉電腦其餘全部port。
- 在電腦機房、資訊部門辦公室天花板設置錄影鏡頭,24小時錄製人員動作。
執行障礙:臺灣哪一家公司能提供足夠的報酬,足以吸引MIS人員願意每日8小時這樣賣身?
2、施行人性化管理
想辦法讓資訊員工不起犯罪意圖。
甲、大軟體公司
- 握有資料庫讀取權的人數眾多:資料庫管理師、程式設計師。資訊員工容易出現「人多好摸魚!人人有嫌疑,各個無證據」僥倖心理。
- 不易滿足全部資訊員工。資訊員工容易出現「此處不留爺,自有留爺處!」心理。
- 資訊員工容易出現「大公司任職經歷有利跳槽」心理。
乙、小軟體公司
- 公司存亡等於員工收入之有無。
- 人員屈指可數,誰洩漏資料庫,呼之欲出。
小結論:
防範資安最大漏洞,小資訊公司遠比大資訊公司做得好。
設置資安長有何實質作用?
如前面第一、項所述:一名頂尖的資安長無異全才專家,軟體與基礎設施二領域都是駭客(hacker)級人物。
他們瞭解整套資訊系統每一道程式,把玩每一句SQL指令,隨時跟蹤各OS、程式語言、網路設備等資安風險或漏洞公告,即時出手(不僅動口)排除風險、堵死漏洞。
也許臺灣有很多這種等級的資安專家,問題是:
全球有多少家股票上市櫃公司具備財力且願意聘請這種等級的資安長?
如果未聘用這種等級的資安專家,退而求其次,改聘infrastructure菜鳥、指派既有MIS主管兼任、甚至純外行但「資歷顯赫」的「專家」擔任資安長,那麼,金管會高官們一紙命令到底提高臺灣企業的資安多少公分、幾公尺?
其理至清至明,至簡至易:
強壓民企設置某職位、投資某資源,是全球獨一無二的擾民暴政。
結論:
1、作者我設計高資安ERP、高速網站。創業維艱的董事長、瞭解損益表重要性的總經理、實力級CIO、體恤部屬的CFO,找我就對了!
2、公務機關尤其國防部應全面禁用Windows。
3、各公務機關、公營事業軟體工程招標規定應禁止將資安作為、證書列入評分項目,改在合約中設置「承包商因資安漏洞導致機關損失」罰則。
4、應立即作廢《公開發行公司建立內部控制制度處理準則第 9–1 條》擾民具文!
Originally published at https://www.linkedin.com.
