課程非機密,用Zoom沒關係?成大資安教授:忽略威脅是「真誠的無知」,貪圖方便是「盡責的愚蠢」

課程非機密,用Zoom沒關係?成大資安教授:忽略威脅是「真誠的無知」,貪圖方便是「盡責的愚蠢」
教育部禁止學校使用Zoom,引發討論。圖片來源:Shutterstock
2020-04-08
文・李忠憲(成功大學電機工程學系教授)
24666
編按:視訊會議軟體Zoom屢傳資安疑慮,紐約市政府、特斯拉等機構已禁用。昨天教育部也宣布禁止各級學校使用,建議改用WebEx、Jitsi、Google Handouts Meet、U Meeting、Teams等軟體,但此舉引發台大電機系教授葉丙成反彈,掀起各方論戰。

針對Zoom的資安問題,再度驗證「資訊安全」這門學問的複雜。我是行政院資訊安全技術面的稽核委員,先解釋一下什麼是「資訊安全管理」。

首先,有人要我推薦一個絕對安全、無懈可擊的視訊會議軟體,這件事情是做不到的。

因為資通訊安全產品系統複雜,檢驗時程曠日費時,檢測成本甚至高過開發成本,故無法使它在使用前、甚至使用中,就得到非常高規格的資安檢測。這也是「資通訊安全產品標準共通準則」( Common Criteria) 失敗原因。

但是這不表示我們對資訊安全管理束手無策,沒有任何方法論。

【延伸閱讀】手機App資安黑洞!讓蝦皮和YouTube讀你的簡訊和通訊錄,你也按下「同意」了嗎?

教育部宣布遠距教學不使用有資安疑慮的Zoom。圖片來源:教育部教育部宣布遠距教學不使用有資安疑慮的Zoom。圖片來源:教育部

資訊安全重視的就是CIA——機密性(confidentiality)、完整性(Integrity)和可用性(Avalibility)。隱私,是資訊安全最重要的部分,在人工智慧大數據的時代,資料比錢更有用。如果你覺得隱私不重要,夠用即可,那這篇文章也不用再看下去。

資訊安全強調的管理方式是PDCA——計畫(plan)、執行(Do)、檢核(Check)、行動(Action);也就是說,它是一個動態的管理:先做風險評估,對於可能發生的危險做優先順序排列,然後投注資源,來修正高風險產生的威脅。

由於屢次爆發資安問題,教育部宣布禁止學校使用Zoom。由於屢次爆發資安問題,教育部宣布禁止學校使用Zoom。

一開始,我對Zoom的呼籲是「少用」。但許多老師告訴我,教育部主推的視訊會議軟體就是Zoom;我不是教育部的人,也不知道他們為什麼做那樣的決策,這是教育部所做的風險評估。

【延伸閱讀】當紅視訊軟體Zoom曾自啟鏡頭 、開發團隊在中國 中研院學者:使用前留意7件事保資安

然而,愈來愈多消息指出Zoom的資安漏洞,最近連紐約市政府(包含學校)和許多著名企業(如特斯拉)也禁止使用,這些都是新的風險評估因素。因為這些客觀的證據和事實,修正原來使用該軟體的決策,這就是資訊安全管理。因此,教育部現在的做法,就是資訊安全管理典型的做法,我個人覺得沒有什麼好批評。

英國政府使用Zoom開會,結果引來民眾質疑。圖片來源:截自強生twitter英國政府使用Zoom開會,結果引來民眾質疑。圖片來源:截自強生twitter

資安,就是「安全」的概念;隱私,則是資安的核心。馬丁・路德・金恩說:「世界上沒有什麼比真誠的無知和盡責的愚蠢更危險。」忽略所有威脅訊息,就是真誠的無知;因為已經購買使用,為圖方便不顧安全,則是盡責的愚蠢。

世界上沒有絕對的資訊安全,也不是非得面對面說的才叫「機密」。忽略已爆發的種種資安前例,認為重視隱私安全是小題大做或政治操作,這種心態正是「安全」最大的致命傷!

如同武漢肺炎,一開始,除了台灣,全世界的國家幾乎都認為只是小感冒。這種態度,就是近期全球化的歷史走向終點的關鍵。

安全是非常高規格的品質保證,為了方便省錢,常常覺得它不重要,但等到發現它重要的時候,往往已經來不及了!

【延伸閱讀】二月網路詐騙飆6倍!6位工程師不捨家人被騙,下班後打造「防詐達人」擋40萬疫情假訊息

紐約市政府、特斯拉等組織相繼宣佈禁用Zoom。紐約市政府、特斯拉等組織相繼宣佈禁用Zoom。

有時候,問題的確無法及時修正。例如智慧製造涉及許多工控設備,發生資安問題時,可能因仍在繼續生產,或短時間找不到快速替代解決方案,所以無計可施,只能進行「長期規劃」。

但視訊會議的軟體替代品很多,並非沒有選擇;學習一個軟體的操作方法,應該也不到一個月,即便繳了年費,最也只是幾千元的損失,況且還有許多免費開源軟體可供選擇。

如果這樣就被產品綁住、無法翻轉,對系統品質的要求是否太低?

(本文獲作者授權轉載

其他人也在看

你可能有興趣

影音推薦

#廣編企劃|【2023 天下城市高峰論壇 #9】新竹市交通處長 倪茂榮:改善交通,必須先做出優良示範道路|天下雜誌✕未來城市

已成功複製連結