最近資安界出現一個非常荒謬的新聞。一家美國 AI 新創公司被駭客偷走 4TB 的資料,結果大家回頭去查,發現負責幫這整條供應鏈發出「安全認證」的稽核公司,竟然產出了 494 份內容幾乎一字不差的假報告。
這種「自動化造假」聽起來離我們很遠,但其實台灣的政府標案市場,每天都在上演類似的戲碼。現在投標就像在玩連連看, ISO 27001(資訊安全管理系統認證)已經變成罐頭格式。廠商想拿標案就得有證書,沒證書到就直接出局。
這張證書到底是驗證了廠商的防禦實力,還是只是一張「免責擋箭牌」?只要有證書就不算廠商的錯?
▋ 用人工代工出來的紙糊盾牌
在台灣,一張證書背後通常藏著一套標準演戲流程。廠商付錢找顧問公司,顧問負責寫文件、排流程,並訓練員工如何回答稽核員的問題。大家排練好之後,在稽核人員面前演一場戲,證書就到手了。
這跟國外用 AI 生成假報告的差別,只在於我們是用「人工」在代工一份只在稽核那幾天存在的狀態。
雖然這種認證會要求做資安教育訓練或內部檢查,但魔鬼藏在細節裡。很多廠商為了輕鬆拿證,會把驗證範圍縮到最小。只要能拿到一張印有公司名字的 A4 紙去投標就好,至於公司其他漏洞百出的系統,根本沒人關心。
▋ 歷史的幽靈:二十年前的 CMMI
這讓我想起二十年前紅極一時的 CMMI(軟體能力成熟度模型)。當時政府瘋狂推動這個認證,要求軟體廠商要分等級、背法規。那幾年台灣資訊業就像在參加奧運,大家拚命衝等級,甚至還有廠商拿假證書。
二十年過去了,當初拿過高等級認證的廠商,現在軟體品質變好了嗎?並沒有。
真正讓台灣軟體進步的是「開源社群」、「雲端技術」以及工程師們在實戰中磨練出來的經驗。認證在當時只是創造了一個龐大的顧問市場,讓負責的人在出事時可以理直氣壯地說「我有照程序走」,而不是真的讓系統不再出包。
▋ 既然都要演戲,那就讓程序漂亮一點
現在我們正進入 AI 時代,當 AI 讓生成這些合規文件的成本趨近於零,這些證書的含金量只會滑落得更快。
真正的資安是實戰,是當攻擊發生時,你有沒有能力隔離威脅與止血。如果我們繼續把認證當成唯一的交差符號,那這套制度就是在「掩耳盜鈴」。
最悲觀的是,這種守舊的制度保護了既得利益者。傳統大廠靠著這些門檻擋住新進競爭者,而政府也樂於接受這種表面的安全感。我們是在保護資安,還是在保護那張讓大家都能下班回家睡覺的平安符?
你在標案裡勾選認證時,是真的相信它代表安全,還是只是想讓程序看起來漂亮一點?
▋ 災難發生時公司能活下來嗎
很多人以為資安就是防駭客,但 ISO 27001 的核心其實像個三腳架,除了確保秘密不外洩、資料不被亂改,還有一個關鍵叫做「可用性」。簡單說,就是當公司遇到火災、地震或大斷電時,你的系統能不能在最快時間內活過來。
這就是 BCP(營運持續計畫)存在的意義。它不是為了應付稽核寫寫文件,而是公司在混亂中的「求生指南」。
▋ 平安符升級成防災演習
在 2022 年最新的規範中,這份求生指南變得更嚴格了。以前可能只要在紙上寫寫「我們會備份」,現在稽核員會盯著兩個重點看:
- 「混亂中的守門員」:即便公司現在一團亂,原本的資安防護也不能撤掉。不能因為急著修復系統,就把防火牆關了,讓駭客趁虛而入。
- 「數位韌性的準備」:這要求公司要算清楚,萬一出事,我們最多能忍受幾小時沒系統用?資料最多能弄丟幾分鐘?這不是隨便說說,還得真的演練給稽核看。
從舊版到新版,最大的差別就是從「嘴巴說說」變成了「實戰演練」。
▋ 救系統還是救整家公司
雖然 ISO 27001 很有名,但它其實比較像是專注於「數位資產」的保險。如果你的公司希望連辦公室被燒了、員工沒地方上班、沒電可用時都能繼續營運,那就會需要更專業的 ISO 22301。
- ISO 27001:保證你的資料救得回來,伺服器能重新跑起來。
- ISO 22301:保證公司即便沒了辦公室,大家還能找到地方繼續工作,連水電人力都幫你考慮進去。
▋ 別讓 BCP 變成抽屜裡的廢紙
如果你的公司正在跑認證,BCP 絕對是必考題。這不再只是顧問幫你寫好的範本,而是需要具體的復原計畫與演練紀錄。
如果我們平時只把這些規範當成「行政工具」來應付,等到災難真的降臨時,那張掛在牆上的證書可救不了你的資料。資安不是為了拿到那張紙,而是為了讓你在最倒霉的時候,還有翻盤的底氣。
你在公司裡有參加過災難復原演練嗎?還是大家只是坐在一起開會簽個名就散會了?
▋ 當龍頭物流遇上駭客:兩天癱瘓的真相
最近物流界發生了一件大案子。台灣物流龍頭「新竹物流」在 2026 年 4 月 17 日突然全線當機,官網癱瘓、司機的掌機失效,連最基本的收貨、簽名、查單號通通做不到。
這不只是一個網站故障。想像一下,全台灣有多少賣家等著這筆單維持生計,有多少人急著拿包裹,卻發現物流中心的大門深鎖,電話打不通,系統像失憶了一樣。
這場混亂持續了整整兩天,新竹物流後來證實:他們遭到了網路攻擊。
▋ 拿到全國第一張證書後公司還是當機了
這是一個非常尷尬的對照。新竹物流在官網上驕傲地宣佈,他們是全台灣第一家同時拿到 ISO 27001(資安管理)和 ISO 27701(隱私資訊管理)兩張國際證照的物流商。這表示他們在個資保護和系統管理上,已經拿到了國際認可的高分。
但在 2026 年 4 月份的這場駭客攻擊中,這些象徵「全國第一」的勳章,卻沒能阻止系統癱瘓兩天。
這讓我們不得不思考:當公司把所有心力都花在取得「接軌國際」的證書時,是不是漏掉了最關鍵的實戰防禦?
▋ 平安符越求越多但門鎖沒換
ISO 27701 其實是資安標準的升級版,專門用來降低處理個資時的風險。它要求企業要有一套循環的控管流程,確保客人的姓名、電話、地址不會外洩。
這就像是在家門口貼滿了各式各樣的「優良住戶」標章,甚至請了專業老師來鑑定風水。但問題在於,標章貼得再多,如果家裡的門鎖是舊的,或者保全人員在值班時睡著了,盜賊照樣能破門而入。
新竹物流確實展現了維護客戶隱私的決心,但這次系統當機兩天,說明了即便有完美的「管理流程」,在面對暴力的網路攻擊時,防禦工事依然顯得脆弱。
▋ 別讓國際標準變成一種公關表演
這就是現在台灣產業面臨的集體困境。我們花很多錢請顧問、付錢給驗證單位、讓員工加班補文件,就是為了在官網上寫下「全國第一家通過認證」這幾個字。
認證本身沒有錯,它的用意是好的。但如果企業追求認證的目標,只是為了拿到標案、為了公關宣傳,或者是為了在出事時有一張「免責擋箭牌」,那麼這張證書就失去了保護公司的意義。
當系統癱瘓、司機無法送貨、賣家無法出貨時,客戶在乎的不是你牆上有幾張認證,而是你什麼時候能把包裹送達。
▋ 實戰能力才是真正的證書
資安不是一場拿了獎狀就能畢業的考試,而是一場永無止盡的生存遊戲。
我們需要從這起事件中學到的是:證書可以拿,但絕對不能把它當成安全感的唯一來源。比起追求全國第一的認證,企業更應該投資在真正的「壓力測試」和「災難復原演練」。
如果你是企業主或主管,在慶祝拿到國際證書的同時,請務必問工程師一個問題:萬一明天系統全部斷線,我們真的有辦法在幾小時內恢復正常嗎?
#資安 #ISO27001 #政府標案 #CMMI #假報告 #BCP #營運持續計畫 #數位韌性 #災害復原 #新竹物流 #網路攻擊
相關文章
新竹物流成為第一家通過ISO 27701資安認證的物流公司
https://www.hct.com.tw/News/News_Detail.aspx?ID=937
