本期主题SPACE空,我们找来徐为群。他犹如活在另一个空间,又像是电影里的卧底,有着犀利的双眼:做好监控!协助人们在网络世界加强防范,保护自己。
TEXT TRACY LOW
我们离不开网络,不是因为沉迷,而是迷恋科技带来的便捷。但我们都忽略了,革新科技背后藏着的隐忧,网络的自由威胁了资讯安全。
这问题关乎你我他,现今谁都面临个人隐私被滥用的危机。
互联网浩瀚无垠,没有规则,甚少受法律管制。那虚拟的世界五光十色,未普及化前是人人憧憬的仙境。
网络的发达,带给我们生活上各种便利。比如,可以在网上进行购物、预约、交友、聊天、见面,或上学都能在网上完成,就连人与人之间的相处模式也因此改变。
从前,你可以选择何时挂网(登入系统),何时转身抽离。可如今,科技日新月异,人手一部(手机)的现象极为普遍,几乎没有上线下线的分别。
无可否认,我们已经变成对科技产品和互联网极其依赖的族群,虚拟与现实世界的界限,愈来愈模糊。
我和徐为群Alan See在一次品酒会上认识。当时听说他的公司主要负责不为一般人所熟悉的网络安全,加上同是华校生的背景,我立即提出专访的邀约,他也爽快答应。
补洞者
Alan的公司Firmus,今年10月份刚刚获得由马来西亚科技创新部(MOSTI)旗下的网路安全机构(Cyber Security Malaysia)颁发年度网络安全公司奖项“Cyber Security Company of the Year”, 肯定他们对信息安全卓越和创新的贡献。
虽然进行了资料搜集,但对于Cyber Security网络安全这个行业,我还是一知半解。
以外行人的角度,对于个人隐私的保护只有最基础的认识, 我们都知道网络安全很重要,但这一切到底如何运作?
网络安全经由信息技术(IT)安全演变而来,涵盖范围比较广泛。从外来的黑客至内部员工的威胁,防毒软件都难以抗衡的Malware恶意软件,到近年流行的Ransomware勒索软件都涉及。
所谓的中情局角色,最主要就是负责信息安全的咨询。中央银行规定,每一家银行每年都要通过第三方公司为银行内部系统做安全审计,主要透过Penetration Testing(渗透测试)对系统进行扫描和分析。
作为第三方公司,不仅要保持立场中立,独立性地检查网路策略,还要当卧底玩角色扮演。
就如电影所演的,一组专才模拟恶意黑客的攻击方法,尝试骇入系统,以评估网络系统的安全性;另一组别的监督员,则针对系统弱点、技术缺陷和漏洞进行分析,提供建设性的方案,协助银行填补网络安全漏洞。
防火墙
22年前的一道防火墙,造就了如今互联网安全防护的成功。
Alan的事业成就,得从他的贵人说起。念书时主修电脑,但当时科技还没那么先进,根本就没有主修“信息安全”的选项。
1994年开始接触安全设备,老板独具慧眼,有远见,相信互联网有发展潜质,洞察到信息安全的趋势。从入行时担任产品主管开始,Alan一路追随及打拚,后来升至区域经理的职位。
这没能满足他的事业雄心。2001年,他与这位前老板,连同一位香港朋友,成立了马来西亚第一家拥有24小时全程监控系统的公司。创新的概念和服务,成功在市场占领一席之地。2008年把公司转卖出去前,它们已成功刮揽了金融市场70%的占有率。
Alan有一份从一而终的坚持。他觉得自己有必要完成已经开始做的事,并且要做得很好,于是一待就是22年。把旧公司转手后,他和友人Eric Yeow联合创办Firmus。
在拉丁语里,公司名字代表“强大、可靠、坚实”,也是他做人的原则。诚信(可靠),即对客户诚恳,是他强调的重点。
公司主要负责保护企业最机密的文件。技术专员面对的往往是企业最脆弱的一面,所以更须特别谨慎处理客户的问题,以便取得客户的信任。这也是他从事防火墙销售工作,至今在网络安全监督方面成功闯出一片天的因素之一。
凡事亲力亲为,他没有助手。尤其是拜访客户时,必定亲自登门会面。这点我倒可以证实。
访问当天,我们约在摄影棚,摄影棚有点不好找,Alan提早抵达,这让我有点意外。
在电梯口恰巧碰面时,他大汗淋漓,原来是刚从隔壁一栋建筑物走来。从这一点,不难发现他的严谨和细心——虽然我无法确定,究竟是谨慎的工作造就了如今细心的他,还是他与生俱来的细腻个性。
向前看
网络安全和信息安全,随着时代的变迁与科技的进步,近年来备受重视。换言之,在这个行业里工作的每一个人,都要随时自我提升,跟上科技发展的脚步。
“创新,是生存的关键。”
Alan举例,阿里巴巴在网上购物平台淘宝商城(天猫),成功将双十一购物狂欢节发展成电子商务行业的盛事,今年的成交额突破1千亿元人民币。
根据调查,今年85%的交易是在手机上进行的。手机助长业务的趋势,虽然便利快捷,带来庞大数额盈利,但存在着甚大的安全隐忧。
从踏入这个行业开始,维持信息安全是Alan的使命。
他目前是Asia Pacific ICT Alliance Awards(APICTA Awards) 亚太资通讯科技联盟大赛——资讯安全项目的评审团主席。这个由马来西亚创办,被誉为亚太资通讯科技奥斯卡奖的年度大赛,超过20个国家参与。每一年,颁奖典礼汇集了亚太地区在资讯与科技等相关领域的精英,着重表扬他们的创意点子和技术方面的成就,也促进了亚太信息通信技术的区域合作。不仅如此,联盟大赛也提供平台,协助新公司吸引海外投资者,同时开拓业务与发掘新商机。
对于企业,信息安全是无可避免的投资。从前的安全技术主要源自欧美国家,可如今中国企业如华为(Huawei)在国际上开始崭露头角紧追在后,Alan有信心地估计再过十年,中国的安全产品和技术,在国际上会有大约40%的占有率。
网络安全涵盖的范围很广,充裕的发展空间,是他积极参与推动技术交流的原因。
“只要你有创新思维,找到合适的投资者开发新产品,资金运营效率高,产品符合市场趋势,就能投入网络安全的行业。”
如今,除了在马来西亚的总部,Alan还在香港开设了分公司,在新加坡也有密切的合作伙伴。
公司接下来的计划是,兴建网络安全威胁评估中心Cyber- Security Threat Analysis Centre(简称CyberTAC),主要针对不断更新的互联网使用趋势,开发比防火墙更强的软件。在黑客发动攻击前,主动出击在互联网上搜寻被窃取或伪造的信息。从网络安全的角度,为企业扮演犹如中情局的角色,针对信息被盗取后“可能威胁企业或个人名誉”这方面对症下药。
教客户
马来西亚证券委员会(Securities Commission Malaysia, SC),今年10月份发出网络风险管理指南,要求全马上市公司的系统达到安全的指标。
“这是让人感到欣慰的消息,也是个好的开始。”
信息安全的前期,都是由银行主导。近年银行业务,转移至电子银行模式,并大量投资于安全设备,系统安全达标毋庸置疑。
大企业和中小企业反而长期疏忽这方面的监管,缺少相关知识,成为黑客下手的新目标(窃取公司的机密文件)。
新的指南,规定公司高层须对安全事件负责任,提高对系统风险的关注。此外,大型企业必须设立独立部门监导公司的信息安全,拟定安全指标。同时,定期委派第三方公司进行安全审计。
在马来西亚,只有少数公司的风险管理达标。
指南一出,Firmus收到不少专业咨询请求。为协助本地企业提高网络安全方面的相关知识,公司还定期举办教育研讨会,协助企业了解信息安全与网络威胁。
Alan说,维护网络安全主要依靠三个P,即People人、Product 产品、Process流程。
PEOPLE 日防夜防,百密总有一疏,就是贪。人力监控电脑系统,理所当然;整个系统里最脆弱的一环,却是人。一旦人受思想情感影响而起了贪念,无论你经验多么丰富,总会有所疏忽。
PRODUCT 为系统安装防病毒软件、防火墙等安全技术,防止信息外泄。
PROCESS 为危机处理应对措施,并规定员工定期更换登入系统的密码,并且定期备份文件。
再三思
长期与电脑为伍,Alan却不能拥有机器人的思维,因为他身负 “监控网络安全”的重任。偶尔他也会因为得到免费的USB记忆体或餐饮优惠券感到雀跃,然而必须留心防备,这些都是黑客盗取个人资料时惯用的手法!
“没办法,有时候就是会忘记。”他无奈地感叹。
网络安全和数据安全,与我们的生活息息相关。年轻一代接触技术层面和资讯比较多,相对的警觉性比较高。虽然年老一辈在相关方面的知识比较弱,但由于接触得少,受网络安全威胁的风险反而比较低。
“现代技术已经发展为你无法抗拒的东西,明智地拥抱它吧!”眼前这位网络安全专才说。
下一次输入个人资料,或打开陌生人寄来的邮件前,请三思。
Photography CHINTOO
Art Direction & Styling SHI YEE
