新光三越設安控長，寫全台百貨業首例！從資安管到食安，最大挑戰是什麼？

走進新光三越台北信義新天地、穿過各大一線精品櫃位，搭乘電梯來到辦公樓層。這裡是多位百貨員工的辦公地點，「安控單位」，安控長馬振華也在其中。

身為刑事警察局前副局長，馬振華在 2018 年卸下公務，原本打算「時間一到就把辦公室的紙箱子通通搬回家，然後四處遊山玩水」，卻在退休前幾天接到新光三越高層的電話，希望他能出任「安控長」一職，「公司告訴我，工作內容包含資安、職安、公共安全、食品安全、環境安全等等，其實就是照顧所有利害關係人的安全。」

安控長，不僅僅是新光三越開業以來第一次貼出的職缺，更是全台灣百貨業的首例。當問及「資安」目前占整體工作的比重為何？「以工作量來講，資安不見得是最多的；但從挑戰與心理壓力來看，資安現在絕對排名第一。」馬振華這樣說。

百貨業第一槍！新光三越安控長在做什麼？

憑過去在第一線辦案的經驗，馬振華很清楚民眾「個資外洩」引發的風險，「所有詐騙集團的生財工具就是『個資』，可能是從網路黑市買來的，或者直接用駭客手段偷來。有了個資以後，詐騙手法多如牛毛。」常見案例比如假冒電商平台客服人員哄騙買家到 ATM 匯款，「有些受害者就這樣被騙走了一生的積蓄。」

另一種犯罪型態是「向企業發動勒贖攻擊」，即駭客直接侵入企業內網、加密資料庫，迫使業務營運停擺，並且拿著大筆個資威脅企業端交付巨額贖金，「如果不付贖金，駭客就會把個資一筆、一筆外流出去，嚴重影響商譽。」

圖片來源：

蔡仁譯攝影

馬振華坦言，假設站在警方的立場思考，必然鼓勵企業能夠在第一時間報案；但現實情況是，成功追討被騙款項的機率極低，原因是金流移轉的設計愈來愈複雜。

「最好的做法還是『預防』，也就是各個企業要加強保護個資。」馬振華表示，「現在有很多家企業被（駭客）攻擊，企業當然無辜，但本身也要承擔一些責任。針對資安問題，不要放鬆警惕、更不要覺得這些壞事永遠不會發生在自己身上。」

馬振華分享，從刑事局到企業集團，兩地的工作氛圍確實很不同：在警隊，有時要制定偵查犯罪規範，有時要奉命跨國執行抓捕任務； 安控長，則是幫助企業擬訂正確的資安策略，以及時刻解決跨部門的溝通。

「跨部門協調，是我（安控長）現在面對的最大問題。」馬振華解釋，安全相關事件往往牽涉到多個部門的業務，例如離職員工的帳號需要立即銷毀，否則可能造成內部資料外洩，「由我負責召集相關部門主管來開會解決困難問題。遇到各方意見不一致的時候，我需要態度稍微嚴肅堅定一點，讓討論能夠順利進行達成共識。」

圖片來源：

蔡仁譯攝

馬振華發現，普遍因為公司內部的人員溝通卡關，以致於「做資安」這件事不容易，「金管會現在希望各大上市（櫃）公司將『資訊單位』與『資安單位』拆分開來，確實是立意良善。但我們已經聽說很多增設資安長的企業，內部曾經出現溝通不良、權責劃分不清、資源分配不均的問題，需要從組織規劃上預作設想。」有鑑於此，他建議在 2 個部門之上還需要再增設一個共同主管（總經理級別），以便更好地協調跨部門之間的往來。

百貨資安工作 1 年心得：敵暗我明，企業更要做好資安

馬振華分享在企業做資安的 3 個心得：一是高層領導人是否重視資安議題，及其是否挹注足夠的資源，必定影響最終的成效，「高層有必要向員工喊話：資安是非常重要的一件事，關乎到我們公司的生存與發展，」至於資源，包含資安防護經費、人力與授權，必須足夠。

第二，務必導入國際資安認證，例如 ISO 27001（資訊安全管理國際標準）。這麼做有何好處？馬振華回應，主動面對資安問題，如此能增加消費者對企業的信心，「而且每年都要做（認證），以此保證資安防禦能力沒有退步。」

第三，企業必須備有明確的資安應變標準作業流程（SOP）。「假設有一天還是不幸被駭客攻破了，怎麼辦？你怎麼應變？」馬振華直言，如今企業遭駭的事件頻頻發生，面對這種敵暗我明的不對等情勢，要做好萬全準備，包含通報流程、降低損害的方法，以及針對所有利害關係人的彌補措施。

「從事資安工作，態度絕對要嚴謹，千萬不能自滿。」馬振華說。

本文轉載自《數位時代》