【《脆弱系統》推薦序】認識資訊安全的脆弱本質
文︱顧家祈 (斜槓創業家/AI學習專家)
《脆弱系統》是一本深入講述資訊安全歷史的傑出著作,作者不僅展現了淵博的專業知識,更從商業、人性、國家利益等不同角度,告訴大家資訊安全不僅僅是「技術問題」,更是社會複雜系統演變的縮影。
本書從電腦科技萌芽的早期階段開始,細緻記錄了資訊安全領域中各種「道高一尺,魔高一丈」的演變過程,一直追溯到當今錯綜複雜的網絡環境。看著會發現,資訊安全的本質並不像大家想像的「牢靠」,相對其實非常地脆弱。
作者巧妙地解釋了,為什麼資訊安全問題會持續存在,且難以根除。主要原因在於,許多開發者和企業在設計和推出系統時,往往受到市場競爭和利潤驅動,優先考慮產品的潛在實用功能和商業價值,而不會投入足夠的資源全面評估和應對可能存在的安全風險。
這種「先行動,後補救」的策略,導致了許多系統在推出後,才發現存在嚴重的安全漏洞,不僅為後續的修補和維護帶來了巨大挑戰,更為潛在的攻擊者提供了可乘之機。
近期就有現實的例子,佐證了作者的觀點:二○二四年 七月十九日,知名的科技巨頭微軟公司(Microsoft),遭遇了一次嚴重的系統故障,使全世界各個國家電腦「同時當機」,全球多個機場的航班調度系統癱瘓,大量航班無法正常起飛;電影院無法線上定位、速食店點餐機無法正常運作,甚至許多地區的緊急救援系統也受到了影響。
令人意外的是,這次故障並非源於外部的惡意攻擊,而是因為微軟為了增強 Windows 系統的安全性,採用了知名網路安全公司 CrowdStrike 的雲端解決方案。在 CrowdStrike 發布的一次例行更新中,意外觸發了全球 IT 系統崩潰,導致大量電腦系統出現藍屏死機(Blue Screen of Death,BSOD)的現象。
這個案例說明了一個重要事實:隨著技術日益複雜化、互相依賴程度提高,錯綜複雜的系統中,很可能存在許多沒有被發現的資安風險,一旦觸發很可能引發連鎖反應,造成預期之外的風險事件。
在當前人工智慧(AI)技術快速發展、廣泛應用的時代,這本書的價值更顯重要和及時。首先,AI 和早期電腦一樣,都是極具革命性和顛覆性的工具,能夠在多個領域帶來前所未有的效率提升和創新機遇。遇到這樣的新興技術,開發者、企業和用戶不可避免會過於樂觀,專注於探索和利用這些技術的應用面,而忽視了潛在的安全隱患和倫理隱私問題。而資訊安全和倫理問題,常常只在造成實質損害後,才會受到足夠重視,這導致補救措施往往滯後於問題的出現。
我們可以遇見在 AI 時代,很可能會再現書中網路剛發展時的混亂時期,而且因為 AI 系統的複雜性,這次可能面臨更加嚴重和複雜的資安問題。這些威脅可能包括但不限於:大規模的個人隱私外洩、商業機密竊取與侵權、高度 AI 化的詐騙等等。
更值得警惕的是,本書還詳細列舉了一些國家級勢力,利用先進的網路技術,進行有組織、有預謀攻擊的真實案例,揭示了資訊安全在國際政治、經濟和軍事領域的深遠影響。未來的資訊安全挑戰,將遠遠超出個人隱私倫理或企業機密保護的範圍,而很可能演變為國家與國家間,進行戰略博弈、相互攻擊防禦的新型戰場。
雖然列舉了許多資訊安全可能的風險,但本書並非單純從道德或價值觀的角度,評判技術發展的利弊,而是採取了一種更為客觀、理性和歷史化的視角。通過深入分析過去的經驗,作者有力地論證資訊安全問題,不僅必然會發生,而且可能會以更加複雜、隱蔽和嚴重的形式出現。
「水能載舟、亦能覆舟」,任何技術都同時有正面與負面的性質。電腦、網路的發展,已經成功比過去時代拯救了更多的人命、讓大家的生活變得更好。我們唯一要注意的是,不能將資訊安全視為理所當然。若過度信任、依賴資安系統,無論該系統有多安全,一旦發生問題,都會造成嚴重的傷害。
然而,當問題沒有發生時,我們又容易掉以輕心,該怎麼辦呢?這就是這本書引用大量歷史的原因,當我們知道「風險一定存在」,才會對潛在的錯誤訊號產生警覺,減少真正錯誤發生時的損害。
定期進行安全檢查、替換過時的防護系統,或是討論更好的偵測與補救方法,都可以有效降低資安風險。 但最好的預防方法,是認清資訊安全是一個「脆弱系統」。了解資訊、網路的脆弱特性,人類才有機會走得更長更遠,就像一直以來走過的歷史那樣。
個資外洩、網路詐騙、駭客勒索猖獗,受害者卻求償無門。
一本書,分析資訊安全的歷史,以及網路系統如此脆弱的原因。
你常常這樣做嗎?
●定期更換各種網路密碼
●連網設備用畢之後,隨手登出、關機
●對於來路不明的電郵、網址心存懷疑,不會因為好奇而點開
●時常關心資訊安全新聞,例如:網路詐騙、駭客入侵、個資外洩事件等
網路科技急速發展,資訊安全卻有很多漏洞,導致個資外洩、詐騙頻傳,甚至遭到駭客和勒索軟體的攻擊。
事實上,資訊安全的本質其實很脆弱,並不像大家想像的「牢靠」。資安問題持續存在且難以根除的原因在於,許多開發者和企業在設計和推出系統時,往往採取「先行動,後補救」策略,導致許多系統在推出後,才發現存在嚴重的安全漏洞,不僅為後續的修補和維護帶來了巨大挑戰,更為潛在的攻擊者提供了可乘之機。
安德魯‧史都華(Andrew J. Stewart)在書中詳述資訊安全從發展初期至今的歷史,其實是連續失敗的過程,即使到了現在,嚴密的資安依然無法杜絕個資外洩、網路勒索的發生,從個人到企業的傷害,仍然持續擴大。
史都華介紹網路發展初期至今的資訊安全史,並從攻擊者、防禦者的角度分析過去的資安事件,也從政策層面探討人們在不同年代如何填補資安漏洞。
然而,造成資安破口的根源,不只是系統出現漏洞,往往人性的脆弱也是原因之一,例如因為好奇、貪圖方便而落入網路詐騙、個資外洩的陷阱。史都華認為,說不定我們可以藉由心理學和行為經濟學對人類行為得出新的見解,進而讓資訊安全問題獲得解決。
現在是過去的產物,想要面對當今的問題,就必須從了解歷史開始。一本書,詳述從電腦發明到駭客入侵的資訊安全史,以及人類如何展開橫跨半個世紀的資安攻防戰。讓活在虛偽又真實時代的我們,重新認識資訊安全的全貌。
|專業推薦|
李忠憲(成功大學資訊安全研究與教育中心主任)
林宜敬(數位發展部政務次長)
鄧惟中(亞洲・矽谷計畫人資長)
顧家祈(斜槓創業家╱AI學習專家)
|作者|安德魯‧史都華(Andrew J. Stewart)
任職於投資銀行,英國倫敦大學皇家哈洛威學院 (Royal Holloway, University of London)資訊安全課程碩士,目前以兼職學生的身分在倫敦國王學院(King's College London)安全研究院戰爭所(Department of War Studies, School of Security Studies)攻讀博士學位,研究主題是銀行內線交易。《脆弱系統》(繁體中文版由經濟新潮社出版)是他的第一本書。作者網站:https://andrewinfosec.com/
|譯者|鄭煥昇
與文字朝朝暮暮,在書本中進進出出的譯者,近期譯作為《脆弱系統》、《多巴胺國度》(經濟新潮社出版)等;賜教信箱:huansheng.cheng@gmail.com。
|目次|
引言 三道聖痕
第一章 資訊安全的「新維度」
第二章 早期研究者的許諾、成功與失敗
第三章 網際網路暨全球資訊網的創建,與一個黑暗的先兆
第四章 網路泡沫,與有利可圖之反饋迴圈的起源
第五章 軟體安全與「痛苦的倉鼠滾輪」
第六章 易用的安全性、經濟學與心理學
第七章 弱點的揭露、獎勵與市場
第八章 資料外洩、民族國家的駭客行為,以及認識論的閉合
第九章 資訊安全的頑劣本質
結語 過去、現在與可能的未來
致謝
附註
精選參考資料
譯名對照
留言列表
