【最新消息】未來城市開設新 FB 粉專囉!按這裡加入吧!
台灣屢成駭客攻擊的目標,從政府部門、傳產到金融業,被駭客勒索金額也逐年攀高,間接提升公司投保資安險的意識。
去年,資安投保件數共311件,較前一年翻倍;保費收入也從2016年4745萬, 2017年成長至6563萬,已變成最熱門的險種之一。
產險龍頭富邦最近與資安新創公司──奧義智慧科技合作,推出新一代資安險。有別於像鑒真數位科技與AIG前身美亞保險的合作,最早資安公司的角色是事後調查,當投保企業被駭,向保險公司申請理賠時,保險公司會找資安公司調查資料外洩情況及找出被駭原因,並建議企業改善,調查費用多由保險公司支付,而外洩的損失理賠則視保險內容而定。
這一次的合作,未來企業投保,奧義會先幫企業做資安「健診」,如果報告上有一堆紅字,企業要先改善,富邦才會核保,企業負擔的保費也會比較便宜。萬一投保企業遭駭,不只有富邦理賠損失,奧義也能幫忙企業蒐證及事故因應。
「過去保險公司賣資安險,核保能力很弱,看不懂公司的資安能力,客戶也不知道怎麼填表。若填太細,怕保費太貴;若填太簡單,又怕萬一出事,保險公司主張公司告知不實,」富邦產險資深副總經理林金穗解釋。
一向保守的金融業,怎麼會看上一家年輕新創?原因是奧義的三位創辦人邱銘彰、叢培侃、吳明蔚,和被富邦金副董事長蔡明忠譽為「資安守護神」的副總經理李相臣,有一段長達17年的緣分。
警察:我看這群駭客在教唆犯罪,就去講法律概念
2001年初,台灣媒體有一條轟動的新聞「警方破獲國人首支自製木馬程式,製造者是大學生」。偵破這起案件的警方,就是時任刑事局偵九隊隊長的李相臣,被約談的大學生就是邱銘彰。偵九隊是台灣專門調查電腦犯罪的警察。
由於檢調認為邱銘彰無犯罪意圖,而是他製作的木馬程式被有心人拿去做壞事,約談後將其飭回,但邱銘彰高超的駭客技術,就進入了李相臣固定「關心」的名單裡。
時隔4年,台灣辦第一屆駭客年會,邱銘彰、叢培侃都是創始成員。「那時候我是警察,看他們公開分享駭客的經驗,覺得他們在教唆犯罪,所以我就去當講者,上台講法律概念,」李相臣說。自此,連續13年,李相臣從未缺席駭客年會。
一位顧問業高階主管也透露,雖然李相臣已經離開警界,但他和國內駭客圈互動頻繁,每個月還會相約在京星吃飯。
被譽為富邦金「資安守護神」的李相臣,離開警界後仍和國內駭客圈互動頻繁,因而促成富邦金與奧義合作。天下資料。
因為是舊識,異業合作機會才水到渠成。原本,奧義只是要賣資安產品給富邦,沒想到富邦也想推資安險,雙方愈談愈多,才浮現業務合作的想法。現在奧義會向客戶推銷富邦的資安險,找上富邦的企業,由奧義出資安報告,幫助富邦判斷要不要核保。
奧義最大的賣點,就是由駭客轉行做資安。
大學被抓的邱銘彰,畢業後變成連續創業家。最早成立資安公司艾克索夫,後來賣給美商阿碼科技;接著邱銘彰和吳明蔚共同成立艾斯酷博,也賣給在美上市的以色列公司威瑞特(Verint)。叢培侃警大畢業後,在刑事局從事電腦鑑識,常跟國內外駭客打交道,他在警界待了6年、中研院待1年,後來辭去公職,加入威瑞特。
白帽駭客:我們鑽研大陸網軍,得到國際認證哩!
最為人津津樂道的是,他們還是國際認證的駭客。2013年,三個人受邀參加全球駭客圈的年度盛事黑帽(Black hat)大會,發表「大陸網軍的組織研究」,台下坐滿跨國公司的資訊長、資安長。三個人也對自己的技術很自豪,受訪時多次強調自己是很厲害的駭客,很了解駭客的招式,才能提供客戶最好的資安服務。
其實,三人更早就透過封閉的老牌駭客社群Chroot認識。Chroot是一個讀書會,不是在網路上,而是要找地點,分享讀書心得。Chroot也負責舉辦每年的駭客年會。
加入Chroot並不簡單,要經過審核,還要繳會費,如果不認真,會被逐出社群。叢培侃說,大家每年要累積點數,包括計算你參加多少次會議、發表多少篇研究,如果點數不足,會被淘汰。因此,自2004年成立以來,成員僅維持20多人。國內密碼學專家、台大數學系兼任助理教授陳君明,也是成員之一。
三人離開威瑞特後,合開新公司,瞄準時下最熱的人工智慧,開發五合一偵測引擎,涵蓋惡意程式活動、機敏資料被打包和外送、合法帳號被盜用、駭客利用合法程式從事非法行為、電腦與電腦間的感染。
幫企業反制,先找出潛伏家裡的小偷
簡單講,奧義的技術是要幫企業「找出在家裡的小偷」,而且愈快愈好。
「很多企業買防毒軟體,預防被惡意程式入侵,但他們不知道的是,自己家裡早就有壞人,」吳明蔚說。
資安大廠趨勢科技曾統計,台灣企業平均遭駭客入侵潛伏,長達598天。
李相臣說,一銀和遠銀遭駭客入侵,潛伏期長達3~6個月。台灣企業普遍是等到出事了,才找資安公司或顧問業找原因,修補漏洞。富邦願意採購奧義的原因是,奧義透過資料分析,監測電腦裡的異常活動,而且透過簡單的圖示告知客戶,讓企業能節省資安人力。
「就像在家裝了攝影機,隨時偵測有沒有壞人,」李相臣比喻。
透過資料分析,一旦監測到電腦裡有異常活動,奧義就能立即以圖示通知客戶,節省資安人力。圖片來源:shutterstock。
不只富邦,國防部、外交部、警政署也都是奧義的客戶。成立不到一年,奧義已在佈局海外市場。吳明蔚更自信地說,公司目標是5年內上市,上市地點未定。
邱銘彰、叢培侃、吳明蔚三個人從駭客變成抓駭客。就像吳明蔚講的,駭客社群,彼此愈熟愈會互相約束;如果是孤鳥,才容易做壞事!他們一路從讀書會到合開公司,把高超的駭客技術用在正途,成為台灣資安產業的中堅份子。(責任編輯:吳廷勻)
【延伸閱讀】
偷了360億的國際天才駭客,竟栽在台灣?
中美貿易戰效應 台灣科技業也要選邊站?
寫程式可能將變成藍領工作?
【本文轉自《天下雜誌》,原文標題為:被抓的駭客與抓人的警察,17年後合作賺資安財!】
