搜尋此網誌

2012年6月13日 星期三

[個人意見] 從食品檢驗到資安驗證,是向上提昇還是向下沈淪?

最近這一陣子,社會各界為了是否開放美牛而爭論不休。比較理性的一派,認為只要做好檢驗的工作,就可以控制開放美牛的風險。狂牛症我不熟,對於食品的安全我也是門外漢,但是剛好這幾天看到天下雜誌的這篇文章 - 《畜產專家也敢吃的好肉好蛋》如何當個畜產品的消費高手、買到好東西?,裡面的專家提到下列幾段話:


檢驗科技有限制,對黑心仍防不勝防。...


許多消費者一直以為食品通過檢驗就是安全,也是一個錯誤觀念。我必須強調食物生產過程中,有沒有具備一個有效的安全管制系統很重要,如果沒有一套系統確保食物原料的來源、規格與批次一致,那麼檢驗合格只代表那一個當初被檢驗的樣品合格,不代表整批產品都合格。...


此外,我們常常看電視演出,拿什麼證物去檢驗就可以驗出所有的成分,那是騙人的!各位消費者也許不知道,檢驗是要有目標的。這個世界上的化學物質那麼多,哪裡驗得完?而檢驗一項成分所需要的費用從幾百到幾千塊不等,所以一般都是會挑選懷疑的、常見的或慣例檢驗的項目來檢驗,否則驗沒幾次食品公司就要倒閉了!...

這些跟資訊安全有什麼關係?有的,因為資安也有一些所謂的驗證標準 (如 ISO 27001),而這些標準也面臨跟上述食品檢驗類似的問題與困境。這些問題包含:

  1. 驗證僅能針對一些列在其中的項目進行檢查,但是資訊安全是一個全面的議題,任何一個小地方的疏忽都有可能造成莫大的損失。
  2. 驗證項目的檢查有其準確性與完整性。通常檢驗對雙方來說都是一個高成本的活動,所以不可能鉅細靡遺的一一確認,所以就算屬於驗證的項目,也會有其不足的地方。
  3. 驗證檢查的是某個時間點的靜止狀態,而資訊安全卻是一個無時無刻都無法鬆懈的活動。今天這樣的作法或許可以提供足夠的安全,但是並不確保明天也將是一樣的安全。
當然,訂定驗證標準的專家們也都知道上述的問題,所以會要求組織必須提供完整的管理辦法,並加上定期檢視的條款,以希望將資訊安全變成組織日常作業的一環。但是嚴格來看,這些要求本身同樣會面臨上述的問題,所以其實並沒有辦法真正地解決問題。

這麼說來,這些驗證的標準一點用處也沒有了嗎?倒也不用這麼悲觀。驗證標準對於有心於資訊安全的組織,確實提供了一個很好的參考與落實方向,所以絕對有其存在的必要性。而且在某種程度上,驗證也是外界用來評估一個不熟悉事物(組織)時"比較公正"的方式。但是不可輕忽的是,對於那些只想便宜行事的組織,驗證確實也成了他們用來掩護自身不足的最佳手段。

記得兩三年前我有一次榮幸的機會跟一群資安專家介紹 ASVS 這個驗證標準,在台上我向這群專家們提問了"導入資訊安全相關的驗證標準可以提昇還是降低組織資訊安全的程度?"這個看似簡單不過的問題。長久以來,我們一直告訴自己跟客戶,做了才安全,所以這個問題的答案不是應該很明顯嗎?

但是仔細想想,真的是這樣嗎?我們從小到大都應該有無數次的考試經驗,而這些經驗告訴我們,考試考的好的人不一定是準備最充分的那些人。考試考的好,除了準備充分這個理由之外,可能還有考題太簡單、考運好、很會準備考試、助教剛好是你室友的男朋友等種種原因。而驗證嘛,也可以直接套用這些經驗。但是你說考試不好嗎?至少目前社會上很多聲音還是認為考試是"比較公平"的評量方式。所以我當天的說法是「不一定,最終還是取決在組織的心態與作法上。如果確實是為了提昇組織本身的資訊安全水準,導入並通過這些驗證確實會有很大的幫助。但是如果只是為了驗證而驗證,那就跟為了考試而考試一樣。組織將只專注於如何通過驗證,反而無心於解決真正的資訊安全問題,那麼整體的資訊安全水準不但不會提昇,甚至會嚴重下降。

最近吵的沸沸揚揚的新版個資法,雖然並不是一個驗證標準,但是也會面臨同樣的問題。這麼多因個資法而開始嘗試保護個資的組織,是真的想要做好個資的保護,還是只想在法律前獲得免責的機會?背後的動機將決定個資法對該組織的資訊安全水準是向上提昇還是反而促使向下沈淪了。

About