ISACA Journal
Volume 2, 2,016 

Translated Articles 

資訊科技該對公司危機負責嗎? 

Vasant Raval, DBA, CISA, ACMA 

在1990年代早期,那時我正拜訪一間在印度相當頂尖的研究型管理學院的院長。這所學院在當時想進入大學念書的學生中是相當有受歡迎的,因為這個原因,該學院要求欲申請就讀該學院的學生必須先通過一個入學考試。這個考試內容通常會要求應試者寫至少一篇該學院指定題目的文章,這所學院的院長告訴她曾在某一年的入學考試中,要求當時應試的學生寫一篇文章,題目為《不存在任何用「對」的方法去做「錯」的事情》,而交上來的文章幾乎都是相當的簡短而且毫無連貫性。雖然因為這個原因讓他只花了比預計更少的時間來看這些文章,然而這樣的結果讓他十分失望。

我相信不只是學生,大部分的人都一樣。我們知道某個「咒語」是什麼,但卻不知道它是怎麼變成我們日常舉止的一部分。我們理解某個「概念」,但我們似乎無法很好地運用它,並使它進而變成我們的一部分。舉個例子來說,在一個名叫Shark Tank的真人實境節目中,一位還在萌芽階段的發明者,他展示了一個他發明的產品,這個產品叫做瘦身鏡,顧名思義這種鏡子能讓照鏡子的人看起來比實際上還要苗條。1 發明這種鏡子的目的,是以欺騙為代價來促進照鏡子的人的自信心,或許目的是希望他們在看到自己苗條的樣子後會促使他們更積極去讓自己變成鏡子裡的那個苗條自己。但是,謊言始終是謊言,不論 它是用什麼形式來包裝,因此該節目的評審一致地否決了這項產品的理念。這例子說明了一件事,有時我們可能會逾越某條界線,而原因並非是因為我們不知道這條界線是什麼或這條界線在哪,而是我們並沒有很好地把這個界限融入到我們生活的一部分。

「手段」與「結果」的關係

「手段」並不能合理化「結果」。錯的事情就是錯的,不論用任何的方式達成。但此刻我卻對某件事實感到十分的困惑,那就是科技常常因為錯誤的結果因而深受其害。從過去到現在數十年的時間中,最大的不同在於,過去那些錯誤結果帶來的影響僅限於相關的組織及其利害關係人,然而,由於科技的「可擴展性」使得該負面影響的範圍變得比過去還要大上許多。儘管科技提升了我們的生活以及居住環境,但它本身似乎無法保護自己免於其被他人以有創意地利用達成那些錯誤的結果(不好的事情)。

雖然在整個過程中,科技乍看之下似乎是被控訴的一方,然而事實上潛在的人為因素才是整個錯誤的罪魁禍首。我們以最近的福斯汽車為例,雖然在現階段整件事情的細節尚不明朗,但這件事情似乎顯示了福斯汽車內部的高階工程師在排放軟體中嵌入了一個可以操弄排放測試結果的程式,當在測試排放結果時,該程式就會發揮的功用操弄整個排放結果,然而在其他正常時間,其廢氣的排放量卻是違反其相關的規定。因為這起事件,使得那些身為德國經濟骨幹的公司身陷麻煩的泥沼之中,福斯汽車的事件讓大眾不禁懷疑是否這些公司是在做「對」的事情。福斯汽車並不是唯一的例子,在這段時間中,還發生了很多道德上不當行為的入侵,這些案子其中的一部分就是透過科技而得手的。

就某種程度來說,IT可以讓人們匿名,這項功能反而使人們沉溺在某些道德上的誘惑。 Ashley Madison即是一個活生生的例子(註: Ashley Madison是個涉及偷情的交友網站)。拜資訊科技所賜,假如有些人想要進行這種「放縱」的行為,該網站就提供幫助他們進行這項行為,並且協助保密使其不會被發現,Ashley Madison的商業模式就是基於前述這種想法而衍生出來的產物,該公司的標語「人生苦短,及時行樂」(“Life is short. Have an affair”,affair意指偷情)生動地描述著這類永恆不變的誘惑,而這種商業模式可說是一種在道德上的顛覆。我不禁好奇假設婚外情這項行為不違法,當它的運營目標不適當時(這裡的不適當是以道德上來看這件事情),該公司的高層是否能保持這種自認無任何錯誤的態度。將婚外情這種行為虛擬化並不能使其本質變成正確的,然而,Ashley Madison藉由提供這類型服務,其成功的原因在於「人性」,這樣的事例也許讓人們會以為享受人生是取決於對婚外情這類誘惑的沉溺。Ashley Madison確實藉由利用這類誘惑的吸引力取得了成功,證據就是: Ashley Madison在其公開資訊時,顯示該公司已有超過4200萬的用戶。

現在有一些專門提供在大城市尋找停車位以減輕人們尋找停車位那種痛苦的App。停車位是 公共財的一種,它不應被App以人質的形式或是以其他形式上地暫時性所有,然而這些大城市對此反應不足,其並未有規範相關行的適當守則,這給了一些專門出售停車機會的公司有了立足點。也許有人會認為這種行為並沒有什麼錯,這又不違法,然而,這些已出售停車機會的公司似乎成了實質擁有這些停車位所有權的人。要明白停車位是屬於公共財的一種,而公共財不是專為某些特定族群提供服務,雖說幫助人們在擁擠的大都市中迅速找到停車位是件好事,但是,以較高的角度去看這件事情的話,IT似乎正在助長對公共所有權以及其使用權的侵犯。

同樣類似的例子,也在交通運輸領域發生著,Uber在當前這種以遵守各國家相關的既定法規的情況下,同時向各國抗爭以爭取將其業務的合法化,特別值得注意的是在法國相關的抗爭, Uber認為法國相關的法規正為該國的繁榮造成混亂,必須改變。Uber的辯護律師Hugues Calve主張法國現行相關的法規完全無法回應現下所有數位化的經營模式,然而原告律師Maxime de Guillenchmidt聲明「Uber這種行為是在智慧上的不誠實。」2 Uber固然改善了效率使生活變得更舒適,但它應該像該行業的監管者來行事嗎?為了其所達成的結果,就該將其手段合法化嗎?既然從企業乃至於各行業都有Uber化的狀況,伴隨而來這類智慧上不誠實的問題也會隨之滲透服務類型的經濟。

科技作為手段

儘管以運用科技作為達成其目的手段所帶來的新式方法正逐漸形成,但那些傳統的方法還是十分有用的。比方說:持續不斷增長的社會工程實踐歷來是痛苦且漫長的,而且仍然存有許多問題。像是老人被騙光了積蓄,甚至連在線上購買的演唱會門票都會被他人以電子上的掠奪方式搶走。作為推動者,科技最終帶來的應是責任,但真實的情況往往是科技只引起了誘惑,而且可能是以更為有效果的方式造成這種狀況。抵抗誘惑可不是科技的職責。

從傳統犯罪(在此指未涉及科技的犯罪)到 網路犯罪的轉變是相當驚人的。普通的詐欺包括網路詐欺(例如拍賣詐欺、事先付款類的詐欺、網路釣魚)、破門竊盜和惡意破壞轉變為網路濫用(例如駭客、服務拒絕、病毒)、兒童相關的性犯罪包括誘姦兒童或色情網站、將洗錢以線上支付系統形式來包裝(例如透過電子貨幣),一般的盜竊變得更加精巧(例如身分資料方面的盜竊,電影、音樂、軟體相關的盜版行為)以及不法的跟蹤纏擾(例如網路騷擾、網路霸凌)。3 以前有哪些行為現在還是一樣存在並未改變,不一樣的是產生這些行為的手段的變得更多元、影響程度更大以及距離更遠了,所有這些強調人類道德上的缺點都藏在科技背後。

人們有很多做壞事 的方法,而科技只是他們可以用來做這些事情的一種具有槓桿效果的工具。在企業這個舞台上使用科技,舞台上的演員-也就是那些行政管理者或組織,似乎沒有感到任何一點自責。有時候,假使科技並未扮演一個合作者的角色,這些行政管理人員或組織或許就不會做這些錯誤的事情。奇怪的是IT似乎是一種可接受的手段,而這個手段則用來製作另一種無法被接受或者至少該說是可疑的計畫。

為什麼使用科技

為什麼IT對於那些做壞事的企業或人們是如此的好用?在最近一份有關電子簽名之使用的相關研究中,發現到在紙上簽名者比起電子簽名者來得更為誠實;而事實上,採用電子簽名的人其不誠實程度比起那些不在文件上簽署自己名字的人來得更高。4 然而前述的研究結果卻與現在的某項事實不相符,甚至可以說是矛盾的,那項事實就是到2017年止,使用電子簽名的交易數量將會超過七億。5 根據有關電子簽名之誠實度的相關研究,文件中附上其電子簽名的不誠實度為什麼這麼高的理由在於,電子簽名與簽名者的「自我呈 現」的關聯度相當薄弱,說得白話一點,從心理層面來看,電子簽名背後只有些微程度代表了簽名者「這個人」。而該研究結果顯示,簽名者認定其簽名代表自己「這個人」的分數越高,其簽名背後所傳達的承諾之誠實程度就越高。

在一項有關高爾夫球場不誠實行為研究的討論裡, Dan Ariely注意到一種心理偏差,這種心理偏差來自於「實際動作」造成其對不誠實行為的沉溺。6 這項研究發現高爾夫球場的不誠實行為直接受「實際動作」所影響。根據Ariely的說法,個人與不誠實行為之間,執行該行為的「步驟」越多時,作弊就會變得更為容易。讓我們舉個例子來說明這個概念吧,假如你擊出的高爾夫球落在一個不慎理想的位置,你企圖改變球的位置,這時我們就很容易把利用高爾夫球桿偷偷改變球的位置,並將這種行為合理化,而利用腳去踢球來移動球的位置更為困難,最困難的狀況是直接用手改變球的位置。(用高爾夫球桿移動球、用腳踢球、用手拿球改變位置就是前面所說的「步驟」;而改變球的位置就是指「不誠實行為」)。

儘管前面我們提到的幾個例子跟IT並沒有什麼關係,但那些源自「動作」(也就是前段所述的「步驟」)的偏差行為似乎與IT是相關的。網際網路世界的技術使得人們遠離實際去做這些「動作」的經歷,這可能導致我們傾向去做那些不正確或不好的事情。

其他看起來更具影響力的因素便是法律上的漏洞,法律與制度樹立了道德上一個較低的門檻,但是法律與制度在促使人們作「對的事情」上,仍是相當重要的。由於法律通常跟不上科技的進步與IT-leveraged的商業模式,所以會產生法律上的漏洞,也就是那些並未違反法律,但道德上卻是一種錯誤的行為。面對這種跨越式科技所帶來法律上的漏洞,這使得企業對此率先發起行動,卻又在行動後擔心其後果。幻想足球這類型的行業(fantasy football industry)即是一個活生 生的例子:監管者認為幻想足球本質上就是一種賭博的行為,而該行業反駁的關鍵點在於幻想足球需要玩家本身意識的決策行為。7 當無人機的應用上升到經濟中可見的水平時,以及無人駕駛汽車變成日常生活的一部分時,這兩種情況可能也會產生與幻想足球類似的爭議。

Endnotes

1 Shark Tank, 22 October 2015 episode, http://abc.go.com/shows/shark-tank/video/PL5539712/VDKA0_qjquiu9x
2 Schechner, S.; “Uber Accuses French Government of Trampling on the Sharing Economy,” The Wall Street Journal, 15 September 2015, www.wsj.com/articles/uber-accuses-french-government-of-trampling-on-the-sharing-economy-1442318187
3 Australian Crime Commission, “Cyber and Technology Enabled Crime,” July 2013, https://www.crimecommission.gov.au/publications/intelligence-products/crime-profile-fact-sheets/cyber-and-technology-enabled-crime
4 Chou, E.Y.; “What’s in a Name? The Toll E-signatures Take on Individual Honesty,” Journal of Experimental Social Psychology, vol. 61, November 2015, p. 84-95
5 Anand, P.; “The Lies E-Signatures Tell,” The Wall Street Journal, 14 October 2015, www.wsj.com/articles/the-lies-e-signatures-tell-1444788405
6 Ariely, D.; The Honest Truth About Dishonesty: How We Lie to Everyone—Especially Ourselves, Harper Perennial, USA, 2013
7 iPR Newswire, “New York Seeks End To Fantasy Gaming,” 18 November 2015

作者: Vasant Raval, DBA, CISA, ACMA, is a professor of accountancy at Creighton University (Omaha, Nebraska, USA). The coauthor of two books on information systems and security, his areas of teaching and research interest include information security and corporate governance. Opinions expressed in this column are his own and not those of Creighton University. He can be reached at vraval@creighton.edu.

譯者: 黃劭彥, 國立中正大學會計與資訊科技學系教授,電腦稽核協會編譯出版委員會委員

Quality Statement:
This Work is translated into Chinese Traditional from the English language version of Volume 2, 2016of the ISACA Journal articles by the Taiwan Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the ISACA. The Taiwan Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.

品質聲明:
ISACA臺灣分會在ISACA總會的授權之下,摘錄ISACA Journal 2016,Volume 2中的文章進行翻譯。譯文的準確度及與原文的差異性則由臺灣分會獨立負責。

Copyright
© 2016 of Information Systems Audit and Control Association (“ISACA”). All rights reserved. No part of this article may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

版權聲明:
© 2016 of Information Systems Audit and Control Association (“ISACA”). 版權所有,非經ISACA書面授權,不得以任何形式使用、影印、重製、修改、散布、展示、儲存於檢索系統、或以任何方式(電子、機械、影印、或錄影等方式)發送。

Disclaimer:
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

免責聲明:
ISACA Journal係由ISACA出版。ISACA 為一服務資訊科技專業人士的自願性組織,其會員則有權獲得每年出版的ISACA Journal。

ISACA Journal收錄的文章及刊物僅代表作者與廣告商的意見,其意見可能與ISACA以及資訊科技治理機構與相關委員會之政策和官方聲明相左,也可能與作者的雇主或本刊編輯有所不同。ISACA Journal 則無法保證內容的原創性。

若為非商業用途之課堂教學,則允許教師免費複印單篇文章。若為其他用途之複製,重印或再版,則必須獲得ISACA的書面許可。如有需要,欲複印ISACA Journal 者需向Copyright Clearance Center(版權批准中心,地址:27 Congress St., Salem, MA 01970) 付費,每篇文章收取2.50元美金固定費用,每頁收取0.25 美金。欲複印文章者則需支付CCC上述費用,並說明ISACA Journal 之ISSN 編碼(1526-7407)、文章之出版日期、卷號、起訖頁碼。除了個人使用或內部參考之外,其他未經ISACA或版權所有者許可之複製行為則嚴明禁止。

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.