資安工作吃力不討好：工作量增加但薪資縮水

背景

根據招聘機構 Harvey Nash 的最新調查，全球網路安全專業人員正面臨工作量激增但薪資停滯的困境。儘管資安被視為科技業需求最高的三大職位之一，卻有超過七成的從業者在去年未獲得調薪，導致該領域的職場滿意度跌至谷底。這種現象源於企業高層的怠慢，往往將「沒有發生資安事故」視為理所當然，而非資安團隊努力的成果。

社群觀點

Hacker News 的討論指出，資安產業目前的困境本質上是激勵機制失靈的結果。許多留言者認為，現行的法律成本過低，企業在發生大規模數據外洩後，通常只需寄出一封道歉信並提供兩年無用的信用監控服務即可了事。這種「違法成本低於防護成本」的現狀，使得企業高層寧願壓榨資安團隊，也不願投入實質資源。有觀點犀利地指出，資安部門在企業中並不直接創造利潤，更多時候被視為合規與法律防禦的成本中心，因此在預算縮減時往往首當其衝。

針對如何改善現狀，社群內出現了關於「專業責任」的激烈爭論。部分網友提議應效仿土木或機械工程領域，引入「專業工程師」認證制度，讓負責簽署系統安全證明的工程師承擔個人法律責任，藉此將資安品質與個人聲譽掛鉤，從而抗衡企業追求短期利益的壓力。然而，反對者則認為這可能導致過度官僚化，企業可能只會專注於滿足 ISO 或 SOC2 等合規流程的文書作業，而非真正提升安全性。他們指出，航空業雖然有嚴格的流程，但軟體安全的定義遠比硬體複雜，單純靠流程文件難以防範不斷演進的駭客攻擊。

此外，人工智慧（AI）的興起為資安職涯帶來了兩極化的看法。一方面，有人擔心 AI 會取代初階職位，但更多資深從業者認為 AI 實際上是「就業保證」。隨著腳本小子能利用大型語言模型發動更複雜的攻擊，以及企業內部員工因使用 AI 工具而產生的安全漏洞，市場對具備判斷力的資安專家需求只會更高。然而，這種需求並未轉化為更好的工作環境，許多人仍受困於無意義的 SOC 監控或推銷無效的安全產品，而非從根本上構建穩固的系統架構。社群普遍達成共識：除非法律能對企業疏忽施加足以動搖估值的巨額罰款，否則資安從業者將繼續扮演吃力不討好的「人類防火牆」。

延伸閱讀

在討論中，有網友提到如 SOX、SOC2、HIPAA 等現有的合規標準在實務中往往淪為檢查清單，而無法阻止每週發生的資安事故。另外，Bus Pirate 等硬體工具也被提及，討論其未來與 AI 結合進行硬體層面安全測試的可能性。