今天要來聊一個...嗯,有點敏感但又超級重要的話題。我們整天在講駭客、防火牆、零日漏洞,搞得好像資安的敵人都在外面,隔著一條網路線。但老實說,很多時候,最大的洞、最難防的鬼,根本就在你公司裡,甚至就坐在你隔壁。🤯
這不是在危言聳聽。你知道嗎,那種看起來好像沒什麼、得過且過、甚至有點反社會的同事,他們對公司造成的潛在威脅,有時候比外面那些專業駭客還要大。因為他們有鑰匙,他們在牆內。
重點一句話
一家公司資安的崩壞,往往不是從被駭客攻破開始,而是從容忍第一個「有問題」的員工,默許那些看似無害的「小奸小惡」開始的。
電影裡的反派其實就在你身邊?這種「高風險人格」長怎樣
我們通常以為,能搞破壞的都是些電腦天才。但現實完全不是這樣。很多時候,真正出問題的,反而是那些技術普普,但心理狀態或人格特質很有事的人。原文裡面把這種人描寫得超到位的,我把它們整理一下,你聽聽看是不是很有畫面感。
他們不一定聰明,但他們很會「玩弄人心」。這種人通常有幾個特點:
- 沒什麼同理心:簡單講,他根本不在乎你的感受,也不在乎公司的死活。對他來說,鑽漏洞、捅簍子,只要對自己有好處,別人的損失?干我屁事。這種缺乏道德煞車的狀態,讓他做壞事的時候特別大膽。
- 思考很直線,超衝動:他們不太會做什麼長遠規劃,常常是想到什麼就做什麼。看到系統有個小漏洞可以鑽,就先鑽了再說,完全不想後果會怎樣。這種人特別容易被利用,或者為了一點小利就做出毀滅性的事情。
- 自戀又眼高手低:明明沒啥料,卻覺得自己是個被埋沒的天才。為了證明自己「很行」,他們可能會去做一些很極端的事,比如竊取公司機密賣給對手,只為了那種「我把你們耍得團團轉」的優越感。
- 超級不合群,而且充滿懷疑:他們通常不太跟同事打交道,總是獨來獨往,對公司、對主管、對體制充滿了不信任和鄙視。他們會覺得「反正這家公司也快爛光了,不如我先撈一筆」。這種孤狼性格,也讓他們在被外部勢力吸收時,完全沒有心理負擔。
你看,這些特質組合起來,根本就是一個不定時炸彈。他甚至不需要多高深的駭客技術,光靠「社交工程」——也就是騙人、套話、利用信任——就能拿到他想要的權限,繞過你花大錢買來的資安設備。真的,太可怕了。😱
所以,我們到底該怎麼辦?
好吧,知道了問題的嚴重性,那...怎麼防?總不能疑神疑鬼,看每個同事都像壞人吧。原文提供了一些比較硬核的建議,我把它們轉成比較好懂的白話文。
我自己是覺得,這件事不能只靠 IT 部門,而是整個公司,尤其是管理層,都要有意識才行。
- 面試的時候,眼睛要放亮一點:不只是看他履歷多漂亮、證照有幾張。更要去了解這個「人」。他對團隊合作的看法?他怎麼處理壓力跟衝突?過去有沒有一些...嗯...奇怪的行為模式?原文甚至提到心理評估,這在台灣可能比較少見,但在一些高度敏感的產業,這絕對有必要。
- 建立「講真話也不會死」的文化:這點超重要。要讓員工覺得,看到怪怪的事情、感覺有人在鑽漏洞,他們可以很安全地把事情講出來,不用怕被報復或被當成抓耙子。很多公司就是因為內部缺乏這種信任,才讓問題被掩蓋,直到爆炸。
- 別只看結果,也要看過程:有些人業績很好,但手段很髒。如果公司只獎勵業績,等於是變相鼓勵大家「不擇手段」。必須讓所有人知道,公司重視「誠信」跟「道德」,這條線絕對不能踩。
- 權限管理,用「零信任」的態度:不要再相信「自己人」這套了。每個人的權限都應該是「完成工作所需的最小權限」。他不該碰的資料,就絕對不要讓他有機會碰到。這樣就算他想作惡,能造成的傷害也有限。
不只是內賊,還有更複雜的「混合威脅」
如果說上面那種是「家賊難防」,那接下來的情況就更像電影《無間道》了。原文提到一個蠻酷的概念,就是威脅不再是單一的,而是「混合」的。什麼意思呢?
想像一下,一個國家的情報機構(比如原文提到的中國或俄羅斯),他們想滲透你的公司。他們不一定會自己派間諜來,而是可能透過「外包」的方式。他們會去找...例如,國際販毒集團或黑幫。這些犯罪組織本來就很擅長賄賂、洗錢、暴力威脅。由他們出面去「搞定」你公司裡的那個有問題的員工,給他錢、給他好處,讓他交出機密資料。
你看,這就變成了「國家級駭客」+「國際犯罪組織」+「公司內鬼」的 Crossover 聯名款攻擊。這真的很難防,因為線索會變得很模糊。你以為你面對的是一般的網路犯罪,結果背後是國家力量在撐腰。
說到這個,原文提到了德國的做法,他們的聯邦資訊安全局(BSI)就很關注這種混合威脅,會主動去監控和分析各種外國勢力的滲透企圖。這點跟我們在台灣看到的情況很不一樣,台灣這邊,比如 TWCERT/CC(台灣電腦網路危機處理暨協調中心),更多時候是在做資安事件的應變通報和協調。德國這種主動出擊、做情報分析的思路,或許是我們可以參考的。畢竟,面對這種多層次的威脅,光被動防守是不夠的。
當公司選擇「睜一隻眼閉一隻眼」...
最慘的狀況是什麼?不是有壞人,而是公司高層明明知道有壞人,卻選擇容忍。可能是因為這個人業績太好、是皇親國戚,或者主管單純就是怕麻煩。
這種「姑息養奸」的文化,後果真的比想像中嚴重太多了。
- 安全防線從內部瓦解:當大家看到「啊,原來那樣做也沒關係」,整個公司的道德底線就會跟著一起沉淪。規章制度變成一紙空文,再好的防火牆都沒用,因為內部的人會主動幫駭客開門。
- 好員工心寒走光,壞員工呼朋引伴:認真做事、有道德感的員工會覺得,這家公司沒救了,然後紛紛離職。留下來的,或新來的,就會是越來越多那種投機取巧、心術不正的人。最後,整個公司就變成一個賊窩。這真的不誇張。
- 信譽掃地,客戶跑光:特別是資安公司,信譽就是一切。如果被爆出你們公司內部管理混亂,甚至縱容犯罪,還有哪個客戶敢把自己的身家性命交給你保護?等著丟合約、吃官司吧。
所以說,處理內部的不良行為,絕對不能拖。今天你放過一個小惡,明天他就敢搞出一個大洞。
常見錯誤與修正
關於內部威脅,大家常有一些迷思,我覺得很需要被打破。
- 錯誤迷思一:只有 IT 高手才有威脅。
修正:錯!就像前面說的,很多時候,威脅最大的反而是那些「不懂技術但懂人性」的人。前台、行政、HR...任何能接觸到敏感資訊或有機會跟人互動的職位,都可能成為破口。他們靠的不是程式碼,是話術。 - 錯誤迷思二:只要裝了監控軟體就安全了。
修正:技術監控當然有用,但它防君子不防小人。真正心懷不軌的人,總有辦法繞過監控。更重要的是「文化」和「制度」,從根源上杜絕讓人想做壞事的動機,以及讓他們沒有機會做壞事。 - 錯誤迷思三:他只是態度差、不合群,跟資安沒關係。
修正:關係可大了!一個長期對公司不滿、被孤立的員工,是外部勢力最好的吸收對象。一點點金錢誘惑或情緒煽動,就可能讓他變成壓垮公司的最後一根稻草。員工的心理健康和工作滿意度,其實也是資安的一環。
比較一下:公司裡的三種「定時炸彈」
為了讓大家更有感覺,我做了一個簡單的比較表。你可以看看,這三種人,你的公司裡有沒有類似的影子?
| 類型 | 擺爛的薪水小偷 | 滿腹怨氣的復仇者 | 笑裡藏刀的操弄者 |
|---|---|---|---|
| 口頭禪 | 「蛤?又要我做?好麻煩...」 | 「憑什麼?這公司對我太不公平了!」 | 「沒問題啊,包在我身上。(轉頭開始算計)」 |
| 主要動機 | 多一事不如少一事,安全規定?能繞過就繞過。 | 報復!就是要讓公司難看,讓主管倒楣。 | 金錢、權力,或純粹享受掌控一切的快感。 |
| 搞破壞的方式 | 無意的。比如為了方便,把密碼寫在便利貼上。 | 有意的。離職前刪光資料、偷偷散播謠言。 | 計畫周詳的。長期潛伏、竊取機密、引狼入室。 |
| 危險指數 ⚠️ | ★☆☆☆☆ (但數量一多也很可怕) | ★★★☆☆ (破壞力強,但通常是一次性爆發) | ★★★★★ (最致命,因為你可能到最後都不知道是他幹的) |
是不是很有趣?這三種人,構成的威脅等級完全不同。但不管是哪一種,只要公司文化出了問題,他們的存在都是一顆未爆彈。
總結一下,資安真的不只是技術問題,它更是一個「人的問題」,一個「文化的問題」。建立一個健康、透明、有信任感的環境,比買再多昂貴的資安設備都來得重要。因為再堅固的堡壘,都可能從內部被輕易攻破。
好了,今天就聊到這。不知道大家有沒有遇過那種讓你覺得「毛毛的」同事?他們的哪些行為讓你亮起紅燈呢?歡迎在下面留言分享(當然可以匿名啦),我們來交流一下職場現形記!
