遭到綁架你會放棄人質性命嗎？資料被綁架也是一樣...

這兩日與一位朋友聊天，他是室內裝潢公司的老闆。

他說公司最近被駭客用綁架軟體攻擊，公司的所有資料都被鎖住，他求助於各大資安或專家都無解，非常困擾！他只能被迫繳納贖金來換回公司珍貴的資料...

他為了與駭客談判，都必須半夜在網路上對話。
根據判斷應該是屬於東歐一帶的駭客集團。

交付贖金必須使用比特幣，這也合理，用比特幣才無法追蹤資金流向，防止被警方追查到...科技帶來便利及隱私，卻也給予邪惡犯罪集團安心的保障。

風涼話的無用建議

他為了公司10幾年來的寶貴資料東奔西跑詢問各方專家，甚至詢問政府有關資安、法律的相關機構，但得到的答案居然大多是： 

「建議您把電腦全部清空、洗掉、Formate...，並拒絕與駭客談判或付贖金...」。

這句話好像很有道裡，但其實是個最無用的廢話。

就是因為資料寶貴無法丟棄，才試圖不斷地花精力去挽回，一句「建議你把電腦資料刪除！」實在是完全沒有站在受害者立場說的風涼話。

「拒絕與駭客談判或付贖金...」這句話也是同樣的意思，若資料是可以輕易割捨的東西，誰希望跟駭客談判、付贖金呢？ 

我們換個模式思考好了，若被綁架的不是資料，是受害者的親人，你能說「建議您放棄親人不要管他的生命安全，並拒絕與駭客談判或付贖金...」嗎？

50%的成功率的殘酷現實

聽說就算與駭客談好付了贖金，資料救回的機率也僅是50%而已，也就類似「撕票」的意思，如果遇到這種手段惡劣、盜亦無道的綁匪，真的是搥胸頓地、欲哭無淚啊！

資安公司的合作模式

我問他：「你沒有跟大型資訊公司合作購買網路安全預防及定時維護嗎？」
他說：「當然有啊！ 每個月都要繳維護費的！」
我說：「既然這樣，花了錢聘僱資安公司維護，還依然被駭客綁架，那可以請資安公司負責賠償啊！」
他說：「沒有辦法....」

資安公司無法賠償的概念

預想一、資安公司無法賠償你的損失，因為你的資料價值並不能預估。

舉例來說，我們在郵局寄信，若郵差不小心弄丟你的一封郵件，頂多只能賠你一小筆錢(如下例)，你若說你的郵件價值千萬，郵局也不會理你，只會依法賠償。

摘自郵政法規： 
國內包裹及國內快捷郵件遺失、被竊或毀損之補償金額，依下列規定： 單件以重量計費者： （一）五公斤以下者，不逾新臺幣五百七十五元。 （二）超過五公斤至十公斤以下者，不逾新臺幣八百六十五元。

所以就算資安公司認賠，絕對不會賠償得使你滿意，你的資料若是無價的智慧財產，更是難以估量其價值。

預想二、上述預想一只是我舉的例子，事實上資安公司根本一塊錢都不會賠你，為什麼呢？ 

聽聞法務人員的說明，我把他的話簡易化舉例(若曲解他的本意或與法律不符，請各為指正，本人不是法律專長者。)：

你能向商人購買武器來防範敵人；但強大的敵人突破你的武器防線，而傷害了你，你無法把責任歸咎於賣你武器的人，只能怪自己。

大意應是如此，我覺得應該淺顯易懂，若有法律背景的朋友可給予指正，我這裡只是閒聊性質。 

我個人覺得就算再強大的資安公司也不敢保證自己絕無漏洞，畢竟一山還比一山高，網路程式駭客功力無遠弗屆，沒有不能擊破的銅牆鐵壁！資安公司只能擔保抵抗多少%的攻擊，但應該不敢承諾「絕對安全」這件事，所以在法律層面，資安公司都應該站得住腳才敢營運，否則不賠死才怪啊！

我賣你球棒，你擋不住有功夫的人。
我賣你刀子，你擋不住有槍砲的人。
我賣你槍砲，你擋不住恐怖分子更強大武力。

我賣你什麼，跟你擋不擋得住敵人沒有絕對關聯，我只負責賣你產品，還有說明產品的功效，但你需要什麼只有你知道，擋不住敵人跟我沒關係...

從這方面道理邏輯去思考，就能清楚資安公司應該是不會賠一毛錢的。

駭客最喜歡攻擊政府單位

據說駭客綁架集團最喜歡攻擊各國政府組織的電腦，試想民政、交通、司法等等單位的資料一被鎖住，你能「建議您把電腦全部清空、洗掉、Formate...，並拒絕與駭客談判或付贖金...」嗎？ 當然不行，沒資料國家就亂套了！聽說政府只能乖乖付天價贖金，而由人民稅金買單，這種事一定會被隱瞞，絕不能讓媒體知曉，否則就會被人民罵翻天了。 

只要遇到一次此類問題，保證畢生難忘

資訊安全真的很重要，公司企業的資安也萬萬不可當作一般的總務在處理(壞了就叫修即可...)，否則會損失龐大且難以估量價值。我聽了朋友栩栩如生的述說這一段經歷，可以看得出他心力交瘁，他現在不得不正視資安的重要，開始花了很多精神找尋備份模式及各種方案的解決之道，因為他已無法再承受一次這樣的打擊了。

公司企業的資訊安全重視

公司的網路、資料備份等等及各式解決方法為何不能當作壞了就叫修、如同總務一般處理呢？因為資安是「預防勝於治療」，把這種任務完全交給資安公司是不OK的(如同我上所述)，公司配置的MIS資訊專員有這方面的專業知識且能知道公司內部的實際需求(如分辨公司內部資料的重要性等級區別等等，這是外部人不會曉得的事)，有責任將整個管道整合暢通，公司的資訊才能保有真正的安全，這是對各個不同企業量身訂做、應需求而隨時改變的方法。

有很多公司都省略MIS人員，其實這樣暴露了很多問題，等到發生如同綁架這一類的事件，就會千金難買早知道了。 

不過，最重要的關鍵，是公司的領導階層必須要有這樣的觀念，MIS人員與資安公司的職責才能得以發揮，防患於未然，否則一切都是空談。

私人的資訊安全

說起我們私人電腦的資料，雖然重要性無法與外人道(外人不知價值)，但都是自身無比珍惜的，譬如照片、日記等等的無價之寶，建議大家一定要有備份觀念，而且要多方存放，雲端硬碟和不能上網的實體硬碟都要備份，而且都不能只備份一個地方，否則雲端公司倒閉，實體硬碟突然損壞，就完全無計可施了。 

資訊安全非常重要，在職場在個人，都是現代人必須要重視的知識，與大家分享這個重要觀念。

文2020.10.29
增修2021.10.29