https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

建構數位科技安全 期許一個安全防範!

2016 / 07 / 25
邱述琛
建構數位科技安全 期許一個安全防範!

近期國內銀行ATM遭盜領事件已由檢調單位證實為遭植入惡意程式,由國外盜領者透過遠端遙控方式來操作ATM吐鈔,雖然在檢警單位的努力下,短時間內即逮捕車手集團並取回贓款,但惡意程式實際植入途徑,犯罪集團背後的駭客組織,目前都尚未確定。 雖然ATM作業僅是金融業務的一小部分,我們是否能藉由此次ATM盜領事件,對整體金融作業環境進行一次深度檢視,可能會是金融業能否面對後續不斷翻新網際攻擊手法的關鍵分水嶺。

網際安全Cybersecurity:國家級安全概念
「網際安全(Cybersecurity)」這一兩年間,國際上已經討論的如火如荼,美國、歐盟、英國、日本、韓國、新加坡等各國均以國家級的專案與資源投入強力推動。 我們國內金融業已發佈了資訊安全檢測規範,其中包含ATM在內都需要完成檢測,且呈報主管機關。但多數的金融機構基於經費考量,採用最低成本的價格標方式,以準時完成檢測報告為目標,而不是抱著找出單位中應該強化的弱點進行補強。廉價的基礎檢測或許符合主管機關的監理要求,但無法應付數位空間中的真實駭客,最後的風險,仍是要由單位自付,甚至還要遭受主管機關的裁罰。

國內在網際安全(Cybersecurity)上與國外比較,相對的在發展速度較為緩慢,雖然國內政府已將資訊安全列為重要的策略目標,但尚未提出較具體的推動方案,行政院資安處即將正式成立,我們非常期許後續會有較明確的作為,帶動整體國家有此意識與行動。

破解封閉網路的關鍵基礎設施 不再是新聞
近期環球金融電信協會(SWIFT)、美國聯邦儲蓄保險公司(FDIC)等金融相關單位,紛紛傳出遭駭事件,類似使用封閉網路的關鍵基礎設施,也陸續淪陷。去年年底烏克蘭電廠發生遭駭事件,依據後續US E-ISAC的調查報告顯示,這是一場精心策畫的駭客行動,就如同終極警探IV中的情節一般,駭客先分析電廠內工作人員的組織隸屬、利用精準的魚叉式釣魚郵件,讓特定人員感染惡意程式,然後取得權限並發動攻擊,而另人驚訝的是,除了隱匿攻擊路徑之外,駭客還使用程式刪除Log檔,並同時使用DDoS手法癱瘓電廠電話系統,延遲其通報時間,另外還中斷電廠系統連結之UPS,切斷其電力供應。駭客之手法,完全依據受害方可能設置之防護措施、反應行動設計,令人震驚。

除了能源業,其他關鍵基礎設施產業,像醫療業、運輸業之案例,更是層出不窮,像前幾天英國鐵路系統也傳出在過去12個月內,至少遭到4次入侵,特別的是,駭客的目的似乎只想入侵系統並潛伏,並不想立即造成影響,因此也被懷疑是國家級駭客的行動。其實這一類駭客潛伏但意圖不明的情況,更是讓人擔心。

建構數位科技安全成為下一個安全防範
國內金融科技(FinTech)正處於起步階段,如推動時僅考量業務功能而未搭配整體安全策略,恐怕事倍功半。 網路上的相關聯結互動都將會是影響金融科技順利運作之因素。因此,網際安全Cybersecurity整體規劃與服務範疇都需要認真納入考量內,才會有助於金融科技,數位科技安全的發展與推動,筆者有以下五點建議:

1. 訂定獎勵辦法實值鼓勵,採用最有利標
行政院早在民國101年就有資訊服務標案宜採用最有利標方式辦理的指導,期望提升資訊服務案件品質。像資安檢測等與數位科技安全相關的案件,應該也是以相同的理念執行較宜,而主管機關若能將各單位資安檢測執行方式(最有利標、價格標)列為審查項目,並結合像未來預劃推動之金融實兵演練遴選對象優先順序等行政手段,應可有效推動各單位採用最有利標方式執行,提高資安檢測的有效性。

2. 強化資安治理,重視資安組織
數位科技安全在國際間普遍已提升至執行長(CEO)或董事會層級,並獲得高度關注,但相對國內組織之資安單位多半還配置於資訊單位,而稽核單位對資訊安全又不夠熟悉,導致資訊安全獲得重視的程度不足,或是各類IT稽核多數淪為形式檢查(檢視書面紀錄),效果有限。應考量賦與資安組織適當之職位位階,並強化推動資安治理,才能有效掌控全面安全風險。

3. 正視複雜問題,研擬整體解決方案
網際安全Cybesecurity是複雜、專業的問題,無法用單一的思維或方案解決。筆者經常聽到有人說弄個封閉網路就好了,其實際技術上用VPN、ACL等方式區隔網路真的不困難,但網路區隔後防毒軟體、修補程式、應用程式如何更新?沒有完整的配套方案、營運維護規劃,最後封閉網路其實根本是透通的。應該依據風險等級、維運需求整體考量,建立具備防禦縱深的作業環境。此外,像NIST Cybersecurity Framework中的風險評鑑機制,要因應各系統實際環境與風險狀態選擇對應的控制,所以,若單位只想要一套控制,那就應該用最高的標準,才能控制風險,更重要的是,風險狀態會不斷改變,所以要不斷更新風險資料估並進行評估。

4. 加速培養數位科技安全專業人才
最近看到求職網站消息,國內缺少大量數位科技專業人才,無法填補企業需求。日本參議院於今年4月通過資安法修正,並設立資訊安全確保支援士,大量培養數位科技安全人力。美國、英國、韓國等國家也以國家力量大量培植數位科技安全人力,國內必須加快腳步,結合產、官、學、研之力量,建立人力培訓管道,相關人力必須結合定期考核制度,以確保其專業技能可以跟上技術發展與世界潮流。

5. 借助第三方專業能量
美國聯邦風險與授權管理計畫(FedRAMP)已導入政府認證且獨立的第三方稽核人員(3rd Party Assessment Organization, 3PAO),來進行供應商遵循標準架構的驗證,在其他國外數位科技安全的發展實務中,藉由第三方公正機關進行查核的比例已經有提高的趨勢。政府未來可借助外部專業力量建立數位科技安全相關檢定與認證(Certification & Accreditation)程序,也是一個可以思考的方向。

在推動數位科技安全策略時,只要市場存在、技術成熟,主管機關不妨拉高標準與要求等,以市場競爭力驅動產業競爭,如此可以引領產業投入發展,強化競爭力;若再藉由第三方專業能量幫助,相信更能共同提升數位科技安全,擁抱新興科技的創新服務。

本文作者,目前任職於KPMG數位科技安全(Cybersecurity)服務部協理