| ||||||
如果台灣發生如韓國一樣的駭客攻擊事件,是否有抵擋能力?多位網路資安專家表示,台灣的網路根本毫無資訊安全可言,問題在於政府放任不管、業者只會買證書卻未落實稽核的心態,一旦發生駭客攻擊,台灣上自國家機密、下至市井小民隱私,將毫無安全可言。 撰文‧許樶文 三月二十日,韓國遭網路駭客惡意攻擊,導致多家媒體及銀行電腦主機癱瘓,震驚全球;大家不免擔心,一樣的狀況發生在台灣,能擋得住嗎?多位負責網路資訊安全的專家對此回應:「很難、幾乎不可能,因為台灣的資安稽核根本沒落實。」台灣網站分級推廣基金會執行長胡貽圓表示,韓國從九○年代初期就開始發展「電子化政府」,還曾在二○一○、一二年兩度獲得聯合國電子化政府評比第一名,「別的不說,當台灣把『網咖』當成特種行業強力掃蕩時,韓國卻是大力扶植網咖,這個國家對網路資訊安全投注的心力,與台灣相比,是兩種截然不同的格局。」「如果韓國擋不住駭客,那麼,台灣更不可能。相同的網路攻擊事件發生在台灣,確實讓人懷疑台灣資安的招架能力。」胡貽圓擔心地說。 漏洞一:政府缺乏明確罰則在韓國事件發生後,台灣的金融業、電信業、政府單位等,都急著對外宣稱自己已經通過ISO 27001國際資訊安全標準認證,但實際上,不論是金融業、電信業,甚至於政府部門,都曾因為網路被駭而損失慘重。 例如○三年時,某官股行庫因一位實習生騙取了主管的網路金鑰,將兩筆共三.二億元新台幣的資金存入虛擬帳戶中,然後再轉入自己帳戶;○九年一月,內政部移民署大當機,花了三天才修復,而這中間卻有被列管的五人因為電腦當機而順利出境。 資安漏洞不止於此!○八年至○九年跨年夜時,某電信業者系統當機,經調查,發現竟是電信業者合作廠商的離職工程師,利用公司不知道的帳號與密碼入侵電信業者的主機,約有超過百萬名用戶受影響。 查證後,該電信公司對工程師提出告訴,但這家電信公司卻沒因為未盡善良管理人責任而被政府罰款。「如果相同的事件發生在美國,該電信業者會因資訊安全管理不當而被罰兩千萬美元以上。」一位在某國立大學負責教授網路資安的老師強調。 漏洞二:認證機構良莠不齊「台灣的資安問題,不是我們『技不如人』,而是根本沒有嚴謹的要求與管理。」這位老師表示,除了政府沒有明定資安管理不當的罰責、造成業者怠惰之外,從資安的驗證到後續追蹤稽核,都有嚴重漏洞。 事實上,在經濟部標準局檢驗局底下、負責管理驗證公司的財團法人全國認證基金會只核可七家驗證公司能發放ISO 27001的證書,而這七家公司目前僅發出三百多張,令人憂心的是:「企業稱自己通過ISO 27001認證、手上還有證書的,遠遠超過這數目。」一家在台灣僅輔導企業通過ISO認證、不發證書的顧問公司表示。 且這三百多張中,僅有不到十張是企業的每個部門都通過此標準認證,「剩下的多是企業的資訊部門通過驗證,所以駭客能從其他部門入侵。」這位老師指出,「在實務上,只要公司付三十萬元新台幣,找家驗證公司輔導,備齊文件,往往就能通過ISO 27001的認證。」但企業內部每一項資安細節是否真有符合ISO 27001的標準,恐怕未受到嚴謹檢核。 對於國內資安驗證的鬆散亂象,行政院國家資通安全會報召集人張善政也曾提及。去年,他在出席台北資安展開幕典禮時就提到,「台灣取得ISO 27001資安管理驗證的市場需求大增,但供應端卻是良莠不齊。」漏洞三:未依產業量身驗證在歐美先進國家,發放資安驗證的單位多為非營利事業機構,以在台灣也有分公司的挪威商DNV為例,DNV在挪威並不是「公司」,而是一個獨立的「基金會」,雖然驗證、稽核也會向企業收費,但因為非屬營利機構,不以賺錢獲利為目的,因此在檢驗與稽核上的公正性也較能受到信任。 而在台灣,負責資安的認證、稽核單位多半是營利事業。「在營利事業單位前提下,驗證、發證及後續的稽核皆為同一家公司,這樣的證書能有多少公正性?」一位教資安的老師提出質疑。 荒謬的資安漏洞不止於此,各行業該符合的網路資安條件都因產業特性而有所不同,即使企業能讓坊間的驗證公司每年稽核,也該按照產業類別,訓練專門人才稽核。 據了解,歐美先進國家甚至是中國大陸,負責稽核人員幾乎要求按照產業類別加以區分。但在台灣,目前驗證公司負責稽核的人員幾乎都是橫跨多種產業的「通才」。全國認證基金會就坦言:「目前驗證公司的稽核人員,確實沒有按產業別分類。」據了解,全國認證基金會曾在○二年八月出過一份報告,附錄建議依照歐聯執委會規則,將產業總共分為三十九類,依照專才分類稽核,但最後卻不了了之。 相較於台灣,大陸對於網路資安的要求,卻是比台灣嚴格、明確許多。大陸師法美國,從一九九五年開始,逐步建立網路資安技術要求的標準,並在準備工作告一段落後,在○七年六月頒布「信息安全等級保護管理辦法」,大陸並沒有遵照ISO的相關辦法,而是自己制定一套資安規則,由專門的公安部落實發證書制度,並定期派員稽核。 此外,大陸將資安分為五等級。反觀台灣,推動資安已經超過十二年,到○九年才訂出「資訊與資訊系統分類分級」工作項目,可是到現在,分類分級的標準都還沒有明確訂定。 ISO制定的國際認證標準並沒有問題,有問題的是台灣政府的心態與執行力,「橘逾淮為枳」,一個國際認可的制度到了台灣後,卻漏洞百出,值得相關單位深思。 什麼是ISO 27001? ISO(International Organization for Standardization),中文名稱為「國際化標準組織」,成立於1947年,是製作全世界工商業國際標準的機構,並不會頒發任何證書給企業,只能制定規範讓各國遵守。台灣原本是ISO創始國之一,但目前已經不是,不過仍參考ISO標準。 ISO 27001是資訊安全管理系統的國際標準,主要從1995年開始廣泛運用,它能確保其組織本身的資訊安全防護措施是有效的,但這僅是最基本的標準。 | ||||||
| ||||||
你知道,全球最大的駭客組織是誰嗎? 「以前的駭客,只是小混混,現在的卻是詹姆士‧龐德(James Bond)。」二○一○年被全球歷史最悠久的病毒測試機構Virus Bulletin選為十年一度「最佳資安教育家大獎」的希伯能,接受《商業周刊》專訪時表示,如今,最強大的駭客組織,就是政府,「比起現在,《一九八四》裡的老大哥根本不算甚麼。」 美客製化病毒,癱瘓伊核廠 這位從二十二歲就開始打擊網路犯罪的資安專家,曾於二○○三年八月成功關閉肆虐全球的老大病毒(Sobig.F worm),此外,他也是率先揭發歐巴馬網攻伊朗的幕後人物。 二○一○年十一月,一隻名叫「Stuxnet」的電腦蠕蟲入侵伊朗核電廠,六千部濃縮鈾核子離心機中有一千部遭到癱瘓,不像一般病毒,通常攻擊Windows作業系統,Stuxnet是罕見的「客製化」病毒,只攻擊核電廠專用的工業電腦,幾乎沒有一間資安大廠捉得到它。 這場戰爭又是誰發動的?希伯能花兩個月寫報告,發現感染源位於伊朗,這是隻至少耗費十名人力、斥資數百萬美元,投入逾一年研發成的病毒,而且可能早在二○○八年前美國總統小布希任內就已批准,並獲得歐巴馬下令啟動。 「以前我們總認為駭客是一群無聊坐在電腦前惡作劇的小孩,現在他們是真的要把敵人殺死。」因此,伊朗核武計畫延宕,暫停生產核彈。被懷疑發動病毒戰的美國政府,雖然在第一時間否認,直到二○一二年六月才承認與以色列合作,證實希伯能的質疑。 翔偉資安科技總經理杜世鵬也說,此事讓全球資安界進入新階段,更讓人關注政府帶頭引戰的危險性。據美國政府二○一四年年度預算指出,不管防禦或攻擊,光投入維護網路安全就逾七十億美元,今年三月南韓也遭北韓攻擊,一天內金融與媒體同時遭駭。 「網路軍備賽已一觸即發!」希伯能提醒。而台灣做為最常被駭客攻擊的目標之一,尤其又面臨全球前三大資訊戰強國的中國威脅,政府若還不上緊發條,後果恐不堪設想。 | ||||||
為了小米機資安問題,國家通訊傳播委員會(NCC)把每家手機業者都拖下水? 十二月四日,立委要求NCC管制小米機在台銷售,以免小米機自動回傳資訊的資安危機爭議,沒想到NCC副主委虞孝成竟回答:「每一支手機都這樣做、都有顧慮!」他說,市面上十二大手機品牌全跟小米一樣,有資料回傳問題。雖沒直接點名,但幾乎可以判斷:蘋果、宏達電、三星……,你聽過的知名品牌可能全中標! 但是,回傳資料與資安危機,兩者間是等號嗎?「地圖導航需要回傳地理位置資訊、上網買App也要回傳帳號資訊……,這不就是雲端運算的一環嗎?」一位手機業者不解的說,政府根本搞錯重點,智慧型手機將使用者資訊回傳到伺服器是常態,回傳未必有資安風險,關鍵在於是否徵得使用者同意、用於哪些層面,是否有與國際資訊安全檢驗機制配合。 未經使用者同意,才是問題 小米機之所以引發爭議,是因為未經使用者允許,就從開機、使用簡訊及相簿,甚至下載檔案,全程與中國伺服器保持連線。再對比小米科技董事長雷軍日前受訪時發言:「數據都是我付錢幫用戶存的,你並沒有付錢。」雖然雷軍允諾增強隱私保護,但將數據價值化的態度,確實讓人擔心自己的資料變成他的黃金。 不過,行動裝置成為駭客犯罪的主戰場卻是不爭事實。根據資安業者趨勢科技調查,今年預估行動裝置的惡意應用程式將成長到三百萬個,其中竊取資料為大宗。若要法律制定管理規則,恐怕最快也要明年年中。而且,NCC只負責審核「出廠預裝軟體」,但小米機早已通過NCC審查,讓NCC面對立委質詢時等於啞巴吃黃連,竟把其他手機業者拖下水。 虞孝成依然堅持自己沒有錯:「初步報告確實顯示,每家業者都有問題。」雖然證明每家業者都有回傳資料上雲端很簡單,只是真正的資安問題,NCC事實上也無力全面解決。與其等待政府把關,不如展開自救,不點惡意連結、替重要程式加密、安裝手機防毒軟體較實在。 | ||||
|
||||||
|
國際間再傳重大資安危機。七月五日長期供應政府組織駭客工具的資安公司Hacking Team近期遭駭,流出多達四百GB的機密資料,不僅醜陋的勾當曝光,就連駭客攻擊程式都被攤在陽光下,恐將導致大規模資安威脅,而且事件至今仍在持續延燒。 撰文•何凱莉 如果一家長期與各國政府合作,且擁有最前端毀滅性武器的軍火公司遭竊,可能會發生什麼事?又如果這家軍火商被偷走的不只有客戶交易清單,還包括各種先進武器設計圖及製作材料,又會是怎樣恐怖的場景? 而最可怕的或許是,這已經不只是假設性問題,而是正在真實生活中上演的危機。這家遭竊的公司叫作Hacking Team,它不賣實體槍炮彈藥,只賣攻擊於無形的駭客工具。 成立於二○○三年的Hacking Team是一家位於義大利米蘭的資安公司,在國際間小有名氣,但或許用惡名昭彰來形容更為貼切,因為Hacking Team主要的產品是監控工具、間諜程式和惡意程式,而他們主要出售對象就是各國政府。 駭客程式曝光 恐被惡用過去對於外界有關Hacking Team協助政府執行侵害人權行為,甚至導致大規模暴力鎮壓,他們都是以只和「有道德」政府合作作為回應,但這次遭曝光的資料卻顯示他們的客戶之廣,不只 有美國、德國、韓國政府,也包括俄羅斯、蘇丹、埃及這樣的極權政權。對他們一直以來的辯白說詞,可以說是狠狠打了一巴掌。 如果故事停留在駭客將資安界毒瘤真面目公諸於世,大概可以稱得上是一部行俠仗義的現代羅賓漢,只可惜真實世界不如想像中完美。 這次Hacking Team因被駭而流出的檔案大小高達四百GB,當中除了曝光客戶清單、內部來往e-mail,更大量流出駭客程式。可以想像,這就好像是一家五星級餐廳不 只將所有菜端上桌供所有人免費食用,還連同傳家食譜都一併公開,從此五星級私房菜就像街邊小吃一樣常見。 但這些曝光的駭客工具畢竟不是無害的食譜,更像是核武等級般的高端武器設計圖,甚至在中國網友的「幫助」下,網路上還出現「人手一份核武器 ──Hacking Team 洩漏(開源)資料導覽手冊」。 現在稍有能力的人,只要依樣畫葫蘆,就可以輕易把這些頂尖工具變成自己的武器,並即刻發動攻擊。這代表的是,未來這些武器的使用者不再只有政府,也可能是犯罪集團,和任何有心人士。 那麼誰會成為受害者?就曝光的文件來看,不論是Android、Windows、Mac OS X、Linux、黑莓,甚至是冷門的Windows Phone和Symbian作業系統,全都可能成為被攻擊對象。 你撥打的電話、Skype可能被監聽,你用LINE、WhatsApp傳的訊息、在facebook、Twitter上的私密文章、照片,還有e-mail、簡訊……,你的一舉一動統統都會被監看,駭客還能夠即時定位出你的GPS座標……,你將無所遁形。 試想,這樣的能力可能會被用來做什麼事?又可能會導致什麼樣的後果? 更甚者,被駭文件顯示,大量非政府人士將可能藉此一覽政府長期累積下來的監控資料。 而且不同於使用實體武器容易引人注目,被駭過程卻是悄然無息的,可能只是不經意瀏覽某個網頁、隨手點開一封e-mai的附件,或是在Google Play下載一個免費App,就可能中招。 換句話說,在現在這個當下,你可能已經被非法監視,但你仍渾然不知。 台灣多數人 不察嚴重性此外,這次Hacking Team事件還引發另一起案外案。在流出的資料中發現,美國安全部門(NSA)對SELinux(安全增強式Linux,一個開源專案)的貢獻中,不知是 有心或無意地留下後門(指在使用者不知情的狀況下遠端操控系統),成為滲透進各種系統裝置的重要管道。而SELinux和Android是相容的,也就是 說,這個漏洞存在所有Android系統裡! 雖然部分相關企業在發現漏洞後,已著手展開補救,但同時間,因這些資料外洩產生的攻擊也悄悄在世界各地展開。這次事件的規模和影響範圍之大,在國際間受關注程度絲毫不亞於一三年的史諾登事件。 然而,在台灣,這彷彿就只是一家米蘭駭客公司,被駭客入侵的國際趣聞而已,多數人似乎都還沒有意識到事情的嚴重性。 然而,很多事情不會因為你不了解,或是你不關心就可以當作沒有發生,更別小看這些虛擬世界的武器,殺傷力恐怕比槍炮彈藥來得更巨大。 或許有人以為不要打開來路不明的檔案,或者將作業系統更新至最新版本就可以保護自己,但就這次事發僅兩日就已經被挖出數個0day(未曾被破解,也沒有工具可以及時修補的漏洞)來看,自保絕不如想像中容易,也是所有人都該認清的事實。 (本文作者為資深資安研究員)大規模監聽事件曝光,我們的生活安全嗎? 時間 內容 後續影響 Hacking Team 事件 2015年7月 和政府密切合作的資安公司Hacking Team遭駭,有多達400GB的祕密資料流出,包括內部郵件、駭客攻擊程式,和購買相關監控工具的各國政府清單等 1. 多個0day(未曾被破解,也沒有工具可以及時修補的漏洞)被發現,包括Windows、Android等眾多作業系統都陷入資安危機2. 頂尖駭客工具落入非政府人士手裡,將導致非法監聽行為更難以控管3. 賽普路斯情報單位首長 Andreas Pentaras,因採購Hacking Team監視產品的相關資料曝光,引發爭議而下台 整理:何凱莉 | ||||||
|
一家軟體代理公司,員工不到三十名、代理產品線約十條,如何贏得半導體大廠台積電、聯發科的信任,成為他們不可或缺的資安防護夥伴? 一家員工不到三十名的小小軟體代理商,為何能成為聯發科、台積電等全球半導體大廠資安防護不可或缺的合作夥伴?甚至吸引日本前三大半導體通路商Macnica捧著兩百萬美元上門投資? 這家行事低調的公司是數位資安(iSecurity),而靈魂人物就是創辦人暨總經理蘇隄。 在資訊界三十年,蘇隄曾任職於美國華盛頓特區的電腦顧問公司,客戶是美國聯邦政府,「美國某聯邦政府部會的第一個資料倉儲系統,是我做的。」他驕傲地說。一九九七年,蘇隄回到台灣,先是進了資策會金融事業群,也在那時興起創業念頭。 代理服務到家 幫原廠申請VISA認證 二○○四年,因為找到幫助企業防止駭客攻擊網站的「網路弱點偵測服務」軟體商機,蘇隄正式踏上創業之路。 「當時我把這項網路弱點偵測產品推銷給台灣Yahoo!,對方也展現高度興趣。」正當他沉浸在公司甫成立,就爭取到大客戶的喜悅之時,卻傳來壞消息。「Yahoo!美國總公司告訴台灣分公司,『我們的網路,怎麼能被外部的人偵測?』」最終只能看著煮熟的鴨子飛了。 蘇隄坦言,這件事確實讓剛成立的數位資安團隊受到不小打擊;不過,低迷的士氣沒有持續太久,隨著電子商務的蓬勃發展,越來越多網路商家與銀行採用這項服務。 當時,最具權威性的跨國資訊安全標準主導機構是VISA和萬事達卡,而且有各自的認證標準。為了幫銀行客戶解決同時符合兩大信用卡公司標準的問題,蘇隄主 動聯繫數位資安代理的軟體公司Hacker Safe,甚至為了幫Hacker Safe申請VISA認證,直接找上負責亞洲區風險管控業務的新加坡VISA亞太總部,幾經周旋,創下了代理商替原廠拿到國際認證的紀錄。 儘管從此與VISA新加坡團隊建立關係,並且因牽線廠商接到來自VISA的大生意,但蘇隄笑說:「這個案子幫公司打了不少知名度,在財務上則幫助不大。」 一度發不出薪水 開發防內鬼軟體產品線 事實上,數位資安營運初期財務狀況並不好,獨資成立公司的蘇隄回憶,「那時候員工不超過五人,但我連薪水都發不出來,賣了車,資金還是不夠用,要用信用卡 預借現金,才發得出員工薪水。」即使公司財務狀況嚴峻,蘇隄還是對資安服務充滿熱忱,同時積極開發另一條產品線。「我在《經濟學人》上看到一家位於美國波 士頓的公司VERDASYS,正在研發一項幫助公司防止員工竊取資料的技術。」蘇隄說,在○四年這是嶄新的概念,很少人認知到資料會被員工外洩。 「我想找並非為了符合法規,而是需要保護智慧財產權(IP)的產業。」他下定決心跳出熟悉的金融業,挑戰全然陌生的科技業。這一跨,竟也花掉兩年時間。 雖然剛好碰上台積電與中芯的智財權訴訟,讓竹科的半導體公司關注智財權的資安防護議題;但從○四年開始積極拜訪客戶、推廣智財權保護理念的蘇隄,○六年才真正拿到客戶下的第一筆訂單。 「這就是資安產業的特性,開發客戶的時間很長,但訂單量並不大,所以大型資訊服務公司反而沒有小公司積極。」一名軟體產業人士指出。 看中智財權市場 替半導體客戶找防護武器 與蘇隄相識多年的聯發科稽核處長劉錫麟回想剛認識蘇隄時,「一開始也覺得奇怪,這個人是誰?」但聽了他的簡報內容後,就知道他懂你的需求,而且他喜歡去發 掘一些新的技術,「所以我說他是軍火商,專門幫客戶做武器評估。」也是從○六年開始,舉凡台積電、聯發科等重量級半導體公司,都在竹科公司口耳相傳下,陸 續成為數位資安的客戶。劉錫麟分析,「數位資安的優勢在於靈巧,蘇隄常常往返美國、以色列,為客戶找尋更好的資安軟體工具。」「我一直相信,沒有東西是白 學的。」儘管十一年來,並不是每一次努力都會換來財報上的實質成果,但蘇隄相信,無論是對技術的投入,還是對業務的付出,最終總會有收穫,「就像這次 Macnica來投資我們公司,」他把話又講回了那一次替客戶申請VISA認證的經驗,「他們看到的,正是我們過往服務客戶的經驗值。」Macnica Networks總經理宮袋正啟評論這樁合作案:「數位資安長期深耕台灣市場,客戶滿意度極高,因此我們希望透過直接投資,深化雙方的技術與服務合作。」 Macnica入股後,數位資安也能運用Macnica代理的資安產品,蘇隄相信,這對將會面臨更多資安威脅的客戶提供更強大的防護武器與技術協助團隊; 而Macnica資金的挹注也將加速其擴展腳步。他預計今年進軍東南亞,並投入技術開發與專利申請,證明只要肯鑽研新技術、提供客戶特殊的價值,小公司也 能闖出一片天。 數位資安 成立:2004年 資本額:新台幣1200萬元 負責人:蘇隄 主要業務:資安軟體代理 主要客戶:聯發科、台積電、日月光、華為 撰文 / 周品均 | ||||
一個從小就能用廢電器做機器人的孩子,因為不適應學習環境,險些被教育制度徹底淘汰; 但張啟元沒有被挫折打敗,用自己的方式考上國立大學,繼續朝成為發明家的夢想前進。 我國二成績很差,又不太和同學說話,導師懷疑我精神有問題,幫我找了一個心理輔導師。 我感覺被當白痴不太高興,所以當他用哄小孩的語氣問我:「以後的夢想是什麼?」我故意回答:「當海賊王」。 他還笑笑地問:「為什麼想當海賊王?」我說:「因為我和魯夫一樣能伸縮自如。」(當場表演將兩隻細瘦的手臂往腦後交叉,再從頸部兩側繞回面前,最後在下巴前交握。)閒聊了四、五十分鐘,他突然問我,「記不記得剛才講過什麼?」這時我真的生氣了,我的短期記憶很強,馬上從見面第一句話開始完整重複了一遍,最後還告訴他:「我只是不愛講話,不代表我有精神病!」輔導師聽了好像有點嚇到,只說:「好,我會跟班導說。」三角窗外的街道上光線充足,路過的行人紛紛撐起陽傘。坐在室內回憶求學經歷的張啟元,皮膚卻白皙得像是從未踏出戶外享受陽光:「我以前很沒自信,只活在自己的世界裡,盡量不和外界接觸。」他修長的右手手指一直按著左前臂,像在紓緩深藏於肌膚下的疼痛不適。 他很窮。沒錢繳房租常轉學成績跟不上 越脫節越不想念書因刪除臉書創辦人祖克柏的貼文而聲名大噪,隨後協助已故藝人楊又穎家屬解開手機密碼,近期又獲臉書致贈的一千美元舉報漏洞獎金,張啟元屢屢被冠上「電腦天才」、「天才駭客」等封號。但學生時代的張啟元,卻因課業表現極差、個性孤僻,經常遭受「白痴」、「笨蛋」這類的言語霸凌。 「天才或白痴」兩種極端的評價,在今年九月才將滿二十三歲、夢想是當發明家的張啟元看來,同樣荒謬,「我只是想證明我能做自己喜歡的事,能有自己的夢想和未來。」他說話的聲音很小、語調很慢,即使在網路世界戰力十足,骨子裡的他,仍舊是個不愛說話的內向男孩。 這天賦特殊的年輕人,依台灣教育的標準,卻是個不折不扣的「魯蛇」(Loser)。 張啟元從小家境窮困,父母原本在同一家銀行擔任司機與總機,卻因銀行被購併遭裁員,只有國中學歷的他們,從此再也找不到穩定工作。失業後,父親改行學腳底按摩,母親則打零工貼補家計,但一家人經常入不敷出,連房租都繳不出來。張啟元從小隨著父母不斷搬家,讀過五所國小、四所國中。 在「一綱多本」政策下,張啟元每轉一次學,就得買一套新課本,課業當然跟不上進度。 其中,最吃力的科目非英語莫屬。在國小三年級前,張啟元連英文字母都沒看過,比起在幼兒園或補習班學過英語的同學,程度遠遠落後一截;偏偏上英語課時,老師喜歡讓同學分組比賽回答,「沒人想和我一組,因為我一定答不出來,同學覺得被拖累。我不想惹人討厭,所以也不主動找人說話。」張啟元說。 他寡言。常被同學霸凌自我隔絕 用紙繩圈住座位上了國中,張啟元成績依舊是最後幾名,除了英文,他連數學、社會都開始落後,「我不能理解數學題目為什麼要直接套公式,段考數學考過零分。我也沒辦法把歷史年代硬背下來,就算很快記得,過一陣子就忘了。」「我小時候會把鬧鐘、電扇拆開,想知道裡面的結構原理;也會拿舅舅不要的廢電器材料組機器人。」從有印象開始,張啟元就習慣問「為什麼」,但在教室裡,老師永遠只告訴你「是什麼」,讓他無所適從。 不適應填鴨教育的張啟元,每次小考考卷總是滿江紅,必須照老師要求「訂正考卷」:罰抄題目與正確答案五遍;沒按時寫完就要打手心、跑操場。張啟元為了不受體罰,連上課時間也拿來罰寫;但手寫得再痠,對考題還是一樣摸不著頭腦,無止境的罰寫,是肉體與精神的雙重折磨。 自覺無法融入同學,張啟元還曾用剪刀將白紙剪成細長的繩索,在座位周圍繞起一道城牆,結果,當然是換來老師一頓斥責、同學一陣訕笑。 行為古怪、成績爛、又不愛和人說話,讓張啟元經常被同學視為怪胎,甚至還有人拿紙屑、橡皮筋攻擊他取樂;但他知道反抗只會換來更多羞辱,因此總是不為所動,將同學的嘲笑當耳邊風。但他看似遲鈍的反應,更被同學認為智能不足,國二導師還因此找來心理諮商師,評估他的精神狀態。 張啟元國中三年只記得一件有成就感的事:「國一校慶園遊會,我用紙箱剪出海賊王角色,幫班上攤位布置。有同學告訴我做得很棒,但也只是偷偷講,因為他怕討厭我的人知道了,會連他一起排擠。」至於學業,除了挫敗,還是挫敗。 他聰明。摸透出題邏輯基測靠小技巧作答 「猜」上高中「我看到啟元的成績單,只會罵他:『怎麼這麼不認真,你明明是個聰明的孩子啊!』但我書念得不高,沒辦法教他功課,更沒錢讓他補習。」母親廖庭瑋神情有些虧欠,在那段艱困的日子,沒人幫得上這家人的忙。 雖然功課不好,但張啟元不是不懂變通。國中基測時,他分析大考答案選項一定平均分布,所以拿到考卷只寫確定會的題目,接著計算已答題目中,ABCD的出現次數,最後全押寶在出現最少的選項上。 這項戰略,讓他猜到了超水準的一一六分,錄取台中市私立慈明高中,選了他認為最接近發明家夢想的廣告設計科。 他自信。創意天馬行空遇上肯定他的老師 尋回學習熱情上了高中,張啟元對課業依舊消極,一年後,就因成績墊底被轉到「非升學班」。但在教室外,他精研魔術方塊解法,成為魔術方塊社社長,還創下只用十四秒就破解成功的驚人紀錄,讓同學紛紛向他請教。在校外,他玩線上遊戲時,對程式語言產生興趣,開始鑽研修改遊戲,並將「密技」放上部落格分享,也頗受好評。從未嘗過掌聲滋味的張啟元,這時才開始相信,自己並非一無是處。 也許是上天的安排,逐漸找回自信的張啟元,也遇見能夠欣賞他優點的老師:業界出身、負責設計概論的王溢川。在設計概論這門課上,王溢川為鼓勵學生創意,安排一個叫「腦力激盪」的小遊戲,遊戲中,任何人只要說出「不可能」、「做不到」,就要接受懲罰。從小就有一堆天馬行空發明夢的張啟元,終於有機會恣意揮灑他的想像力,在課堂上如魚得水。 「啟元高中時比較陰沉,但講起自己的點子,眼睛像是會發光。」張啟元在課堂上提出的「筷子結合湯匙」、「全3D環景顯示裝置」等構想,至今仍讓王溢川印象深刻。「只要學生有想法,我一定鼓勵他們勇敢執行,因為我知道這群孩子需要先被肯定,才能找到學習熱情。」第一次感覺學習並不痛苦的張啟元,先輕鬆考回升學班,「我意識到這個社會是現實的,成績代表一切,我一定要考上國立大學,才能讓家庭經濟狀況改變。」高三那年,祖父臨終前流著淚說:「因為我做工出身,讓子孫生活這麼苦,我很不捨。」更堅定張啟元藉由考上國立大學翻身的決心。 他發憤。要考上國立大學上網找答案自修 自創口訣背歷史下定決心後,他每天只睡兩小時,其他時間都拿來念書。這一次,他不理會學校老師的指導,決定用自己的方式與考試搏鬥。 他照樣參加學校的小考,但再也不乖乖照老師的指令罰寫,只是把自己錯的題目圈起來,上網找答案。網路上找不到解答的,例如數學,他就跟著朋友到補習班,要朋友趁解題時間幫他向補習班老師請教,最後數學成了他最拿手的科目。 考量成本效益,他每天至少花三小時複習最弱的英文。有一天,學校找了英文補習班老師來代課,張啟元才發現,英文單字原來是由「字首」、「字根」組成,從此他不再死背每個字母,只記關鍵字根再往外延伸,一天強迫自己背兩百個單字;面對陌生的單字他只用很快的速度掃過,寧可多看幾次,也不要在同一個字上糾結太久,這樣的速記法,讓他在四技二專統測英文考了將近八十分。 面對非背不可的科目,他也自創口訣。例如設計史裡的超現實主義代表人物吉馬德、達利、夏卡爾、米羅,在他筆記本裡是:「超(現實主義)級瑪(吉馬德)莉(達利)下(夏卡爾)樓(米羅)梯。」高三的張啟元,像台接上插頭的電腦,持續高速運轉。他的模擬考分數從高二時的兩百分往上狂飆,參加統測時,更以破母校紀錄的五五八.五分錄取國立雲林科技大學。儘管沒上第一志願台科大,但曾經在張啟元幼小心裡留下傷痕的考試制度,已被他徹底征服。 考上大學後,張啟元想起,在升學系統中痛苦掙扎的絕不只自己,因此主動回母校借閒置教室,替學弟妹複習功課,「很多人告訴我,找不到念書的方法和興趣。 我會先問:『你有試過不同的方法嗎?』我的經驗告訴我,不要因為莫名的恐懼,放棄嘗試的機會。」他說。 剛畢業的學生,竟高調回學校「開班授課」,引來部分老師反彈與奚落,但張啟元不以為意,「我被嘲笑慣了,你越覺得我不可能辦到,我就是要做給你看。我也告訴學弟妹,『如果你有決心,就試試我的方法,但要做好被老師盯的準備。』」從學習中找到自信的張啟元,連脾氣都長了出來。 考進大學後,張啟元雖無法適應環境,只完成一年學業,就因太多科目不及格與家庭因素休學。不過發現自己能耐的他,靠著自學的程式語言,揪出許多網站的資安漏洞,也在校外參加創意競賽、發明獎、替企業繪製模型賺取收入,慢慢朝心目中的發明家夢想邁進。 他想說……分數真的不重要! 找到自己的方法就能成功 與臉書的一番交手,讓張啟元一夕成名,也讓他遭受來自專業資安人士的質疑,「開始有人在網路上用專有名詞試探我,如果我答不出來,就說我是假冒的。有些名詞我真的不知道,但我知道怎麼做,其他就交給大家評論。」對於來自「主流」的批評,張啟元早已學會淡然處之。 「我一直不覺得自己笨,只有國中時候有點懷疑,可能……真的太多人說我笨了吧。」談起對教育環境的感受,張啟元微微揚起頭,單眼皮下的眼珠往上轉一圈,「如果不是因為一些事找到信心,我可能永遠覺得自己很失敗、做什麼事都不會成功。」如果有時光機器,今天的張啟元會怎麼鼓勵十年前那個無助的自己?「就算你花很多時間,成績還是沒進步,也不要覺得自己很笨,可能只是你沒找到自己的方法,或還沒發現自己的天分。但只要有自信,做什麼東西都會很順利。」內向的男孩又靈活地轉了轉眼珠。 義務教育,是條所有人都必須挑戰的賽道,曾經,張啟元只因在某個階段不適應,就差點被淘汰出局。成年後,他幸運找到屬於自己的競技場,努力朝人生目標邁進,「學習是為了超越自己,分數並不重要。但每個人擅長的事情不同,大家要互補,才能一起進步。」曾經跌跌撞撞的他,如今對未來的人生,滿懷憧憬。 撰文 / 鄭閔聲 | ||||
國內首宗ATM遭駭吐鈔,雖然主嫌已落網,但這起案件卻將台灣金融資安問題,赤裸裸呈現。 七月十三日,國內爆發首宗銀行業遭到國際駭客攻擊並得逞的大型犯罪案:第一銀行四十一台ATM,疑似遭到歹徒植入木馬程式而中毒,變成「自動吐鈔機」,短短兩天,被海外犯罪集團輕鬆提領超過八千萬元。 當台灣金融科技(Fintech)領域已落後他國,現在又出現此案,若我們只追究犯案者的手法,其實無濟於事,而是該深思考,到底台灣金融業者面對資訊安全,是用怎樣的層次與角度看待。 這次一銀事件,為什麼一時之間這麼多錢被提光?問題出在哪? 《商業周刊》專訪某位為十幾家銀行業者擔任資安顧問、四大會計師事務所之一的副總經理,透過其第一手告白,看見台灣最真實的金融資安問題。 搶市占率,求快 可以快點上線就好,連風險控管都不問。 你去問每家銀行「你們的ATM(在公司內部)主要是歸誰管?」「App又是歸誰管?」通常都是跨部門管的。 資安絕對不是只有技術面,而是個結構面的問題,需要跨部門分工和協調,如果只從資訊部檢討是無效的。 比方說,有些銀行在新興科技上的能力不是這麼強,因為銀行(既有)的資訊人員,穩定性比較高,所學的都是成熟技術。如果銀行要發展Fintech只有兩種做法:一種是趕快去招募新人,有新的能力,其中包含這些新東西;另一種快速的方法就是委外,(但)一委外,就扯到安全問題。 金融科技的本質就是創新、講究效率、市場占有率;你追求快,就會忽略了安全。很多銀行,尤其是那種很想發展數位金融的,通常(委外時)會問:什麼情況下可以又快、又能管控到風險? 會問這個問題的銀行,已經算不錯了,大部分銀行連這個都不問,只求快,希望手機上可以快點買咖啡、快點付費,至於安不安全、程式怎麼寫,其實他們未必有能力去review(檢視)。 委外招商,求便宜 價格最低的人就得標,安全檢測都沒要求。 我要強調,委外不是錯,重點是你給誰做?這有幾個問題,第一個就是招標形式,你用什麼形式招標?有沒有安全的規格和要求? 就我所接觸到的外商銀行,做資安這種服務,在委外的過程中,用評選或「最有利標」,價格當然是個參考,但僅僅是參考,而非絕對,美商、英商、日系的都是。反而是台系銀行,不管民營或官股都是價格標,牌子翻開後,價格最低的人就得標。 當然,他們不會承認,但你去看現在銀行的核心系統檢測,招標時都用價格標,安全檢測都沒有要求,寫App的話,就是功能正確,趕快交差,讓我上線就好了。 這就好像你去做健康檢查,五百元你可以出一份報告,五萬元也可以出一份報告。以他們的採購機制,他們就是會選五百元的,因為他們的心態一定就是用最簡單的,量量身高、體重,抽抽血就夠了。 招標時,最清楚(哪個品質好)的就是資訊單位,可是這種需要跨部門的協調,要跨採購、跨業務、跨風控。其他單位的人會說,這和買ATM、電腦那些硬體不就一樣嗎?來個價格標不就好了嗎?這種節省成本的心態,與資訊安全單位不被重視(有關)。 資安人員,小小小媳婦 他們迫於壓力開通系統,有心人士就進來了。 在很多銀行裡面,資訊人員算是小媳婦。最近富邦大董(蔡明忠)不是出來說,我們有一個李相臣(編按:前刑事局偵九隊隊長,擅長打擊網路科技犯罪,現為富邦金控資訊處處長)。大家就會知道說,喔,原來富邦有一個這樣的人,人家有像樣的position(地位),這樣子沒有人敢說李相臣在富邦是個小媳婦吧? 但在其他銀行,資訊人員只能算是個小媳婦,資安人員算是小小小媳婦。 他們面臨那個業務單位的壓力是,「唉唷,你這個不(開)通,那個也不通,我們的某某業務、外匯業務,和分行的連線都不能做,你就全部把我開通啦。」資訊人員迫於這種壓力,就把對外宣稱是「封閉式系統」的東西開通,有心人士(駭客)就可以進來了。 這兩天(指十六、十七日)我們都在加班(編按:一銀盜領案發生,所有金控高層緊急找顧問提供諮詢),和一些銀行的資安承辦人員見面,有人在解釋一些事情時,眼眶都是紅的,講到快哭出來了。 講這種(專業的)內容,居然會出現這種反應,可見他們真的很委屈。問題是,他之前的提醒,有沒有被業務單位採納?當初大家如果是同等地位的對話,會這樣嗎? (經過一銀這件事情後)開始有銀行要我們做一些事情,他們開始在意:像資安的權責該由誰負責? 而且,最近這些(要求)不是來自資訊單位,而是董事會、很高層的董字輩長官的需求,請我們開始規畫資安單位結構、組織人力的檢討。 一銀這件事對台灣發展Fintech而言,是一個反省的好機會。之前講Fintech都在談技術、業務,甚至是速度,覺得速度比人家快才有機會贏,(一銀案發生後)這段時間,大家更能想想風險的問題。 這件事對台灣是轉機還是危機?這回到另一個問題:決策者的心態是什麼?如果是保守、消極,那對於推動Fintech就是危機。 昨天(十八日)一銀董事長有說,不會因為這件事情而影響發展Fintech的方向,我們就假設他說的是真的。 未來積極發展新興科技,對於資訊安全的管理也都正面迎戰,如果說到也有做到,當然就是轉機。 撰文者張舒婷 | ||||