《經濟學人》 The Economist
過去一年間,孟加拉央行被駭客盜走8100萬美元、擁有48億美元資本額的電信公司Verizon併購雅虎案,差點因兩次龐大的資安破口洩露而告吹;連美國總統大選都有俄羅斯駭客的蹤跡。
在黑市中,駭客傭兵和情資竊取的委託案一直十分盛行。你可以想,網路 1.0時代,能被偷的還只是錢財、個資等一些「身外之物」,但隨著「物聯網」鋪展開,接著的世代裡不論是汽車、飛機、道路號誌、胰島素注射器、義體、心臟維持工具,都是電腦控制的──它們被駭客侵入和遙控的後果,應該不難想像吧?
《經濟學人》指出,基於互聯網原初的架構就難以完全防範入侵,要避免局面更惡化,必須從幾個法規角度著手。首先是人民的個資隱私加密。在近年的恐攻與國安拔河的趨勢下,常有論者呼籲降低個資保護,讓政府更容易掌握人民的通話紀錄和大數據,揪出潛在罪犯和高危個體。但這麼做的同時一定也為著駭客智慧犯罪大開便門,是個雙面刃。
下一步,應該是把對全民的資安教育,當作「數位健康教育」來推動。許多使用電腦的長輩或年輕人「數位健教」知識很差,不懂防毒,或安裝許多夾帶惡意程式的不明軟體、把重要密碼設得很簡單或放在容易取得的地方。
原則上,軟體公司要負起一部份的防弊責任,但矽谷的「破壞式創新」就像當前的即時新聞邏輯,往往是「先搶快上線、再尋求改善」;與其要求他們把程式的漏洞都做到高標才推出一項資訊服務,我們可以想見,在未來的自駕車、物聯網時代,他們一定是更多地規避責任(例如:在車主打開電腦自駕功能時,跳出「安全風險自負」的法律免責聲明)。
但《經濟學人》提醒,過去在美國的汽車製造史上,車廠也是如此將道路安全問題推給車主個人的技術和駕車態度;但明明有些車體安全問題是駕駛個人再小心都沒用的。最終消費者知情後串聯施壓,車商還是得面對他們該負的責任,投資改良車體。
相信未來的趨勢是,所有連接人身的物聯網服務,都必須附帶人身安全保險,而這對電子系統的改善是正面的促進作用。因為一項電子服務若存在著明顯的安全破綻以致使用者連連出事,保險公司就會不斷提升保費彌補賠償金。這筆躲不掉的成本將促使網路企業更謹慎於提供安全服務。
http://www.economist.com/news/leaders/21720279-incentives-software-firms-take-security-seriously-are-too-weak-how-manage