【从“勤洗手与戴口罩”学防骇】企业与个人都该有资安卫生习惯，落实与持续是重要关键

武汉肺炎持续在全球扩散，在台湾的防疫期间，勤洗手、戴口罩与保持社交距离，就是我们最常听到的宣导口号，简单来说，就是要我们做好基本卫生习惯，降低自己被感染的风险。

在资安宣导上，我们常常也会听到类似的概念，例如，公司或组织要大家定期更新系统更新档及病毒码，发现可疑信件就不要开启，不随便开启附件档与网址，以及启用双因素验证等，这些小小的举动，虽然很琐碎，但其实，也都有助于降低被电脑病毒感染，或是被骇客入侵的风险。

强化企业资安卫生习惯有方法

关于这类从使用者着手的资安卫生习惯，其实，近年也有人在谈论这个议题──资安卫生习惯（Cyber Hygiene），强调在既有的资安管理上，采取更主动的防卫措施，以预防可能遭受的各种威胁事件，而且，现在国际间已有从法规面来着手推动的实例。

对此，勤业众信风险咨询服务执行副总经理林彦良指出，近年美国与新加坡-其实都有资安卫生习惯的规定，例如，新加坡金融管理局（MAS）就是可以参考的实例。

简单来说，该单位在2019年8月6日发布资安卫生通函（Notice on Cyber Hygiene），透过法令来推动，当中具有6大重点，包含针对账号的管理、定期安装修补程式、安全标准、网络边界防御，以及恶意软件防护与多因子认证。其实，这些都是基本的安全概念，不过林彦良特别指出，在这样的机制下，会让企业相关做法变成内部控制的一环，而不是仅以资安管理看待。

除此之外，国际上一些较为实务面的资安框架，也可以说是做好资安卫生习惯的参考指引，包括澳洲网络安全中心（ACSC）的Essential Eight，以及美国非营利组织网络安全中心（CIS），发展出的CIS Critical Security Controls（CSC），这些资安框架在iThome之前的报导也介绍过，都可看做企业在规划资安卫生习惯时的建议。

对此，勤业众信风险资讯服务协理陈威棋说明，企业只要做好Essential Eight的8项安全控制措施，将能减缓85％的网络攻击威胁。

戴夫寇尔首席执行官兼共同创办人翁浩正也提到，可以参考CIS Control的一连串控制措施，像是最基本的第1到6项，就可视为资安卫生习惯，可以奠定良好、强健的整体防御根基。

但要提醒的是，资安卫生习惯的基本观念要先形成，这可能需要时间，不是现在开始做，就会马上立竿见影，快速看到成效。

需透过资安规定来落实，以及持续进行

资安卫生习惯将是防护根本之道，BSI台湾总经理蒲树盛表示，这次全民都有防疫概念，-从早到晚的每日防疫短片，宣导勤洗手、戴口罩等卫生习惯，就是教导民众容易做到的方法。 （摄影／洪政伟）

再从这次台湾防疫经验来看，全民之所以都能对于防疫很有概念，-在卫生习惯的持续教育宣导，效果显著。

例如，电视上从早到晚播放着防疫小短片，-也召开每日记者会持续宣导，大家看久了、听久了，也就知道该怎么做，而且，一旦养成勤洗手、戴口罩这些卫生习惯，不仅可大幅减少病毒与细菌传播，也是民众最容易做到的动作。因为口罩可以阻隔病毒的飞沫传染的途径，勤洗手则是能避免接触传染。

对于这样的持续教育，以及防止传播途径，BSI台湾总经理蒲树盛表示，这是防疫上很成功的经验，企业在进行资安防护时也是如此，可以依照组织资安规定来进行，如果有人不遵守，那关键就是在规定要能落实。

蒲树盛并提醒，企业在内部资安教育上，同样要有不断的宣导、教育与演练，而且，普遍企业可能实施范围不够全面，但是，资安防护并非只有资安团队的责任，而是全公司同仁都要做到的分内工作，就像这次全民防疫一样，大家都要遵守，才能挡得住疫情。

换言之，企业除了要落实资安管理，资安意识的教育训练也是辅助执行的一种方法。例如，企业采取上课、考试的方式，来教导员工邮件安全、帐密安全、电脑安全，以及资料外泄保护等资安观念，以及利用举行社交工程演练的方式，寄送钓鱼测试信，促使员工对钓鱼信能有更高警觉性。

关于这些作法，大家可能已经知道，认为是老生常谈，然而，要定期且持续进行，才是真正的关键，就像这次防疫一样，要持续宣导不能松懈。

毕竟，人往往生病了，才会重视身体健康和个人卫生，但平时应该就要保持良好习惯，而资安卫生习惯的概念，同样是需要持续进行的事。

至于全民防疫，主要也是因为这件事与每个人切身相关，因此民众配合度高，能够配合政策来做好防疫，但论及全公司都要做好资安，企业员工可能因为不涉及人身安全，因此在资安教育宣导上，必须更要采取正面积极的方式，让大家能认同这件事，因为，每个人都可能是企业的破口，而导致受害。

卫生习惯教育不分年纪，但资安习惯教育仍需多多努力

无论如何，从这次台湾成功的防疫经验来看，如果大众对于资安的态度，能提升到与防疫的态度一样水准，这将让我们在资安即国安的政策施行成效上，更具说服力。

关于防疫与防骇，两者本身就有很多原理相同，像是病毒（Virus）这两个字，就是从生物学而来。对此，卫生福利部资讯处处长庞一鸣表示，他对此很有感概，因为他本身就是公共卫生背景出身。

在庞一鸣的经验中，他用预防医学中的三段预防概念，来说明资安防护的观念。这里指的三段预防，分别是初期预防、次级预防，以及三级预防，这与资安领域所谈的预防概念看似不同，不过，两者仍有共通之处。

他说，初期预防着重的是预防生病，生病之后是次级预防（变重症），而重症则是三级预防（死亡），这其实与资安防护上，所谈论的事前、事中与事后概念，相当一致。

对于资安卫生习惯的议题，庞一鸣特别点出一个令人需要关注的问题。他说，香港小学生在学校会习得资安的知识，反观台湾呢？为何我们的资安没能从小开始教育？

确实，对于卫生习惯养成这件事，大家应该都不陌生，毕竟这是老师、家长从我们年幼时就在教导的观念，或是说现代大家都该有的基本认知。也就是说，关于卫生习惯的教育宣导，其实并不分年龄对象。

尽管近年来，台湾在校园上的资安人才培育，在高中、大学都有一些课程与活动，但这些是为了培养更多资安专家及从业人员，而在各学龄层的资安卫生习惯宣导，却未受到长足重视，呈现很大的落差。

单就国小学童来看，过去我们常看到电脑课的内容，包括资讯素养与网络伦理，随着时代演进，甚至现在国小生就要开始学AI了，但基本的资安卫生习惯养成，却似乎没有从小开始扎根，包括知识产权的认识，如何安全使用网络、隐私资料保护，以及如何在网络上保护自己等。这样的问题，值得-与学校去思考与重视。

 更多相关报导  从防疫学防骇