「信息安全專家」表面很專業,但實際上他們的工作不過是做好預防性設置,發生事故則作出補償性控制,並迅速回復系統運作,減輕損失。
要減輕損失,除了前文提過的各種防範手段外,近年信息安全監控中心(SOC)興起「信息安全事故風險保險」熱潮,購買保險轉移風險,也是應對網絡安全的方法之一。
事實上,很多客戶都會問:我與SOC定立合約後,如果SOC抵擋不了攻擊,那我的損失怎辦? 這是一個非常有趣的問題。20年前,我在四大會計師事務所當「攻擊測試員」時,合約裏面會有這樣的條款:當我們測試時,客戶要妥善做好系統備份,如果有任何差池把系統「打冧」,我們不會承擔任何責任。
客戶付錢要求服務,但出現事故或過失,則由客戶承受,這很匪夷所思!但到今日,這種情況仍很常見,例如航空公司及旅行社遭黑客攻擊,用戶損失信用卡及個人資料,他們只是說一句對不起,最多會檢查你的個人資料是否被放到暗網銷售,但你個人資料的損失,則完全沒有任何實質補償。這些事情合乎常理嗎?
推而廣之,包括上網服務、網上電子相冊或電郵系統,他們有購買保險嗎?為什麼大家不接受汽車沒有購買第三者保險,或醫療中心沒有購買事故保險,但信用卡及個人私隱資料,竟然會存放在沒有保險的系統內?
所以,六年前我已經利用保險作為提供安全服務的「終極手段」。假如我達不到服務水平協議內所定的細則,或因為我的信息安全隊伍失誤引致數據洩漏或系統停頓,我會向客戶賠償。
記得初次加入這個條款後,很多行家嘩然,說我竟然大膽作出這種保證。但這六年時間證明,這種做法令很多客戶安心,同時也令我的信息安全隊伍嚴謹度大幅提升。最近兩年,更看到雲端儲存、數據中心等信息服務業,甚至酒店、大眾運輸及關鍵基建設等行業,也開始查詢和購買相關保險。
即使保安系統設計完善,但信息安全的戰事,從來沒有絕對安全的一天。更多保障,對降低事故發生後的損失有更大助益。
TOZ聯合創辦人
龐博文
暗網潛航——虛擬戰場生死最前線(十)— 天下斷無易處之境遇
其他
更多- 暗網潛航——DDoS(四):攻守相赴(四)2021-01-11
- 暗網潛航——DDoS(四):攻守相赴(三)2021-01-04
- 暗網潛航——DDoS(四):攻守相赴(二)2020-12-28
- 暗網潛航——DDoS(四):攻守相赴(一)2020-12-21
- 暗網潛航——DDoS(三):魑魅魍魎(七)2020-12-14
- 暗網潛航——DDoS(三):魑魅魍魎(六)2020-12-07
- 暗網潛航——DDoS(三):魑魅魍魎(五)2020-11-30
- 暗網潛航——DDoS(三):魑魅魍魎(四)2020-11-23
- 暗網潛航——DDoS(三):魑魅魍魎(三)2020-11-16
- 暗網潛航——DDoS(三):魑魅魍魎 (二)2020-11-09
- 暗網潛航——DDoS(三):魑魅魍魎(一)2020-11-02
- 暗網潛航——DDoS(二)︰百鬼夜行2020-10-19
- 暗網潛航——DDoS(一):撒豆成兵2020-10-12
- 暗網潛航——電子靶場:我自一口真氣足2020-10-05
- 暗網潛航——電子靶場:洞曉病源2020-09-28
- 暗網潛航——電子靶場:初情莫重於檢驗2020-09-21
- 暗網潛航——電子靶場:搶軍旗2020-09-14
- 暗網潛航——電子靶場:攻防有致,包懷大略(上)2020-09-07
- 暗網潛航——電子靶場:蒐田之禮2020-08-31
- 暗網潛航——電子靶場:解帶為城,聚米為山(下)2020-08-24
- 暗網潛航——電子靶場:解帶為城,聚米為山(上)2020-08-17
- 暗網潛航——隱寫術反鑒識應用—雲譎波詭2020-08-10
- 暗網潛航——隱寫術反鑒識應用─若隱若現2020-08-03
- 暗網潛航——電腦鑒識術──冷徹心扉2020-07-27
- 暗網潛航——通訊軟件鑒識與反鑒識(下)2020-07-23
- 暗網潛航——通訊軟件鑑識與反鑑識(上)2020-07-16