「無知是一件可怕的事」,這句或說出來有些時候是蠻傷人的,也不是一句好聽的話。但是在過往的經驗中,卻常常看到許多人或是企業將資訊安全掛在嘴邊,但是卻又不把落實資訊安全當作一回事。簡單舉幾個例子:
- XXX組織,在WiFi AP設定時確實依據大家認同的Best Practice將AP的存取權限劃分成公司內專用及訪客專用,公司內使用的用採用身份辨識機制,而訪客專用的則無設定任何安全機制。經詢問,公司的資訊主管回覆,既然是訪客使用,當然就不需要設定安全機制。
- 同組織,因為訪客專用的不須經過身份辨識就可以使用,所以就順手幫忙做了弱點掃描,發現該AP存在著許多不同程度的弱點,再次詢問,資訊主管回覆,該AP已經用很久了,所以不需要再進行弱點修補了。
- XXX組織,因為組織規模較小,所以公司內並未針對網段進行劃分及區隔,結果全公司一人中獎,全公司都中獎(勒索病毒)。
- XXX組織中了勒索病毒尋求資訊商協助,資訊商告知可以用備份檔將系統及資料重建,該公司資訊主管回覆備份檔跟系統主機存放在一起,所以一起鎖住了.........................神仙難救。
以上簡單幾個案例,看了會笑,但這些事每天都在上演................請原諒我再說一次「無知是一件可怕的事」。
|