近年來政府遭駭客攻擊與機密外洩等資訊安全事件頻仍,國家資訊安全儼然成為另一個國安危機。現任微軟全球策略計畫副總裁克里斯.柯提斯 (Chris Cortez)於三月份訪台時建議政府資安防護投資三大要務:
1.使用並遵循國際驗證標準 2.重視並加強資訊安全政策,同時提高安全責任層級 3.持續投資並採用最新的資安技術,以降低政府機密資料外洩風險,有效防範駭客攻擊與病毒散佈,確保國家安全。
2014年全球外洩身分資料8,500萬筆 資安威脅層級與範圍俱增
近年來發生的國家資訊安全事件,像是南韓對於美國的網路滲透或是南韓核電廠遭駭客攻擊並竊取機密資訊,甚至是近日,美國前國務卿希拉蕊坦承於任期中使用私人信箱處理公務郵件等事件,不啻為各國政府敲響一記資訊安全的警鐘。
據ITRC資料外洩資料庫 (ITRC Breach database)統計,2014年全年共計發生783件身分資料外洩事件,身分資料外洩的資料筆數達85,611,528筆(來源:2014年ITRC身分竊用報告),企業與政府單位因罰金、訴訟費用或機密外洩造成龐大的金額損失。對於政府與國安機關來說,行動技術、社群發展、雲端科技與大數據應用的興起,帶來新的資訊安全的威脅,新型態的網路攻擊與惡意行為以及無可捉摸的使用者行為,已然成為政府資訊安全另一個挑戰。
提升資訊安全預算與聚焦資訊安全三大要務 確保政府資訊安全系統符合最高安全規範
雲端應用布局是否能夠符合國家資訊安全策略與規範,供應商是否善盡管理與監督之責是重要的關鍵。此外,通過符合國際安全標準的驗證,也可確保供應商能提供符合國際標準要求的資訊安全管理制度。針對政府與公共事務單位的資訊安全投資,柯提斯提出三大要務建議:
一、 通過並遵循國際驗證標準: 政府的資訊安全系統應該通過 ISO/IEC 27018 國際雲端安全標準,這是全球所公認的安全作業標準。
二、 重視並加強資訊安全政策,提高安全責任層級,規範資安作業流程。
三、 持續投資並採用最新的資安技術:政府應該選擇具有良好安全技術、每年不斷研發投資、具備國際信譽、並通過國際安全驗證標準的供應商,以確保所建置的資安系統與架構能夠符合國際安全規範,同時能夠因應新科技帶來的資安挑戰。