談資安即國安2.0戰略規劃-E等公務園
講師A：「資安其實和防疫很像，攻擊成本低，防禦成本高。醫生都不敢跟你保證『人不會生病』，身為一個資安人員，我也不敢跟你保證你不會有資安問題。」

講師B：「我當初調來這個單位，同事和我說『你來真是太好了，以後我們都不會有資安問題』，我當下超想回家。另外我要補充，醫生讓人不要生病的方法很簡單，給他一個毒藥，藥到命除就好。」

這根本就專業事務官 XDDDDDD

我看過的事務官都是吐糟役。

講師B：「現在物聯網的應用很多，所以物聯網的資安事件也很多。物聯網就是萬物連網，之前有個單位買了可以連網的門鈴，當訪客按下門鈴，它會順便拍下訪客的容貌，傳到伺服器，方便做訪客管理。你想想，門鈴這麼小的一個東西，它的硬體跑很動防毒軟體嗎？它會有防後門的機制嗎？想也知道沒有嘛，所以裡面的資料很容易被偷。」

（我更想靠北的是，這門鈴收集我的容貌，這是個資耶，應該要先取得我的同意吧！）

講師B：「政府資訊委外20多年，不管是建置還是維護都交給外包廠商，沒有養自己的資訊人力，導致現在政府的資安人員有1000多人的缺口。我們最近處理非常多委外廠商造成的資安事件，明明伺服器都做到實體隔離了，但委外廠商一條專線進來做遠端維護，你的資料就上網了。」

講師A：「現在政府想成立『數位發展部』強化資安的處理能力。」
講師B：「你是說『許願部』嗎？只要各單位處理不來的資訊問題，丟給數位發展部就好。各位，清醒點，是人都知道防疫不能只靠衛福部，所以資安也不能只靠數位發展部。」（小聲：數位發展部還在籌備中，還沒成立）

講師吐槽！

講師C：「資安KPI的設定要以『風險控制』為主，當發生三級資安事件時，可以在多短的時間內把漏洞補上。如果KPI設定『今年不可以有三級資安事件』，那就會變成沒有機關願意通報資安問題，無法讓其他單位提早防範。」

講師B：「說到資安KPI，之前有個法人調查全台1000大企業的資安事件，調查結果顯示駭客對前500大企業的資料有興趣，對後500大沒興趣。但就我看來，是前500大資安做得好，知道有人偷東西，而後500大連東西被偷都不知道。資訊竊取和實物竊取最大的不同就是，資訊被偷了，東西還在。」

有梗的就這幾段，後面開啟政令宣導模式，內容就變硬了XDDDDD

好有趣！謝謝分享筆記~

讓我想到學校的資訊組長wwww

無知是件好事。

門鈴為什麼需要跑得動防毒軟體？不要把防毒軟體看得太萬能，不是有防毒就萬無一失，也不是一定要有防毒才能防止資料外洩。在這講師舉的案例來說，防毒可能有作用的是裝在負責管理的Server而非門鈴，門鈴要做到的是加密避免資料被竊，後門問題則是挑製造商和處理資料的晶片

靈體 :