資安專家獲正當授權測試卻遭逮捕，獲賠60萬美元

即使手持正式授權文件，資安專家依然可能面臨牢獄之災。兩名滲透測試專家因「看起來像罪犯」而遭逮捕，最終獲得60萬美元和解金，這起事件為快速發展的資安行業敲響警鐘。

荒謬的現實：有證也被抓

蓋瑞·德默庫里奧和賈斯汀·韋恩兩人在2019年受雇於科羅拉多州資安公司Coalfire Labs，當時正在愛荷華州一座法院建築進行授權的安全評估。

他們手中握有愛荷華州司法部門的正式書面授權，明確允許進行「紅隊演習」，包括「撬鎖」等「物理攻擊」手段，目的是測試現有防禦系統能否抵擋真實世界的攻擊手法。然而，即便如此，兩人仍在執行任務時遭到逮捕。

這種測試的核心理念是模擬真實駭客或竊賊的手法，透過實戰演練來檢驗防禦機制的有效性。

灰色地帶的代價

這起和解案揭露了資安行業面臨的結構性問題。滲透測試已成為企業資安防護的標準配備，但其執行過程往往游走在法律邊緣。

在華人世界，類似的資安服務需求正快速增長。從台灣的中華電信到香港的跨國企業，都需要定期進行安全測試。然而，這起事件提醒我們，即使擁有完整的法律文件，執行人員仍可能因為「看起來可疑」而遭遇法律麻煩。

特別是在亞洲地區，不同司法管轄區的法律環境差異更大，跨境資安測試的風險也相對更高。

企業的新挑戰

這個案例對委託資安測試的企業提出新的思考：光有合約和授權還不夠，還需要確保所有相關人員都充分理解測試的性質和範圍。

對於在多個市場營運的亞洲企業而言，這點尤其重要。無論是台灣的科技公司進軍東南亞，還是香港企業拓展內地業務，都需要考慮不同地區對資安測試的法律認知差異。

更深層的問題是：當資安威脅日益複雜，我們是否已經建立了相應的法律框架來保護那些為我們提供防護的專業人士？