chiahua on Twitter

RT
看著一堆被駭的新聞，想必最近一難堆政府機關會開始要求資安。

但資安這塊不是下個指令給下屬「一週內改善完成」就能達成的事，反而可能會逼下屬避重就輕的回報，或甚至採取更糟的行動。

首先要先認知資安是很特別的一塊，不是會寫程式會修電腦就懂，要找專家。專家可以概分為測試和實作兩部分。(續)

測試和實作最好分開找。最後就是資安要花錢和時間，而且最貴的不是找專家的部分，是修改檢測到問題的部分。

有可能當年三萬塊找來做的網站或服務，要整個打掉重作。

公部門中除了執行者外還有監督者的角色。以下是我的建議：

1.詢問有無每年做資安檢測。
2.詢問資安檢測報告中，評估優先修改的部分，是否已編列預算改善。

監督者重點在盯著能撬動系統的槓桿點，正確的對行政部門施力。而不是發脾氣亂罵一通，或更糟的是對錯誤的地方施力，浪費了時間、精力和金錢。

---今年上市櫃資安措施政策開始實施。政策其中是有資安檢測一環。
把已知的漏洞先掃一掃。再來是整個公司內外環境做安全上評估。

台灣一班資安廠商做的掃描就是拿開放軟體跑一下，檢查完後中國駭客來掃一下，漏洞一大堆，他們才能要用時隨時有一大堆機器可以用

台灣資安公司說不定也該檢驗一下

日防夜防，家賊難防啊

技不如人也是真的

“曲突徙薪無恩澤”的資安啊