今天參與政府單位資訊系統導入零信任的說明會,其實概念上還蠻矛盾的,站在台上講解的人口沫橫飛的希望聽眾相信這是對的方向,只是這個方向是希望大家不要太相信彼此;但也其實,三年多的疫情期間我們早已體驗零信任的概念,因為疾病的感染並不會因為人與人的信任關係而有任何差別,這個概念在資訊系統的威脅也很類似。
傳統的資訊安全概念透過層層的隔離去建立理論上安全的環境,但這樣安全的錯覺讓很多防火牆內的資訊系統省略了防護工作,當資訊安全的威脅意外出現在隔離區內,災害就會很快的擴散;另一個也是疫情帶來的影響,當人們沒辦法進入到特定工作場域,許多事情就沒辦法順利進行,傳統對於安全的防護成為遠端工作瓶頸,兩難之下鬆動了原有的防護措施,沒有做好準備的資訊系統也就容易成為攻擊目標。
零信任讓所有資訊系統的操作都有完整的防護,無論操作者在隔離區內或外,只要操作的功能有防護必要,就會要求完整的多因素認證,也就是透過不只一種驗證作法;當操作變得繁複,很容易形成不必要的障礙,因此搭配指紋、臉部特徵等新興的生物特徵認證,兼顧資訊安全的同時也不會讓身障者等情況的使用者難以配合。
除此之外也會透過持續性的操作行為來判斷信任程度,當行為出現了預期以外的情況,或是要操作需要進一步防護的功能,系統就會再次要求認證,不再是一次性登入就無限制的操作各種功能;信任的政策也可以進一步鎖定設備,讓未經許可的設備難以進入系統,建構一個完整的防禦機制。
零信任的概念也可以用來看我們的民主發展,當許多人把投票當作民主唯一的責任,投票後就不再進行監督工作,民主機制就容易出現破口,讓專制隨著執政者權力的擴張而發生;當人們採用零信任的觀念,無論投票結果為何都持續監督當選人,民主機制才能夠有效率的促成更多社會進步。
零信任讓信任殿基在合理的機制之上,技術的進步讓資訊系統得以全面性的朝這個方向邁進;至於疫病的防治與政治的發展,大概就要靠身為公民你我的智慧了。