資安圈有一句很有名的話,那就是「方便與安全不可能同時滿足」。在政府法規方面,有另外一句話很有名的話,那就是「自由與安全不可能同時滿足」。電影 全民公敵 嘗試探討政府監督人民日常生活作息的嚴肅議題,著實是一部經典的好片。而 獵殺代理人 這部影片,主要內容是描述未來的科學家研發出代理機器人的機制,使得人類因為過於依賴代理人,而忘了身為人類的感覺。雖是完全不同的話題,但是同樣發人省思。
在片中政府部門對於這些滿街跑的代理機器人,當然不可能放任不管,所以在每個代理人中埋下了一個沒有人知道的功能,那就是可以遠端切斷控制者與代理人的連結。為了繼續銷售產品,廠商自然也得配合這樣的法規要求。這種機制的存在,一旦被有心分子濫用之後,結果可想而知。在電影的結局中,因為病毒感染了這個系統,所以所有代理人在一瞬間被中斷連結、停止運作。
法規與安全之間,除了上述隱私與特權的疑慮之外,還有其他更複雜的關係。這種關係簡單來說,就像考試與學習的關係。考試對於讀好書或許是有正面的幫助,但是對於學習這件事是正面還是負面的效果,卻有很大的爭議。但是不可否認,考試依舊是較公平、也比較容易施行的評估方法。所以儘管法規要求對於資訊安全的提升是否真有幫助確實有很大的爭議,但是卻也是大家唯一能夠遵循的共通性作法。
回到現實來看,遵守法規要求是組織不可避免的責任。所有廠商都知道,如果提供的產品或服務跟法規有關,通常就是業績一路上升,甚至可以說是雞犬升天。再講的黑暗一點,有些廠商會去運作一些法規,為了就是讓自身的產品或服務能夠大賣。不論哪種情形,組織自己都必須很清楚的了解到遵守法規與資訊安全能否真正提升並沒有絕對的關係。如果組織通過法規只為了一份證明文件,那麼對於資訊安全不但沒有助益,甚至還可能有害。以現今很流行的 ISMS 而言,導入 ISMS 的組織其心態多是甚麼,或許就可以解釋對於法規可以提升資訊安全這個議題,我個人為什麼會抱持著很大的保留態度了。
相關連結:
沒有留言:
張貼留言