https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

處理資安事件的正確心態

2018 / 09 / 25
邱述琛
處理資安事件的正確心態
國家安全會議近日公布國內第一部「國家資通安全戰略報告:資安即國安」,其中明確揭示,近年來資安事件駭侵層級,已升溫至攻擊政府體系與關鍵資訊基礎設施,以及關鍵民間產業,將影響國家安全。而整理近年國內外政府機構知名的重大資安事件包括:
-2015年美國人事管理局遭網路攻擊,導致400萬筆公務員及2,100 萬筆的民眾個人資料遭竊
-2016年美國總統大選十,民主黨總統候選人希拉蕊陣營遭駭客入侵,導致數量可觀的電子郵件外洩
-2016年國內某政府機關網站因提供會員相同之預設密碼且未強制更換,遭有心人士利用不當存取會員個資
-2018年國內某政府機關電腦教室之XP電腦遭駭客自國外入侵並植入零時差惡意程式,並對內部主機發動攻擊
-2018年新加坡遭受駭客精心策畫的網路攻擊,繞過各種安全防護機制,鎖定國家醫療資訊系統SingHealth竊取資料,並特別鎖定國家領導人之個資
-2018年國內某政府機關進行紅隊演練時,發現地下網站(暗網)有人販售國內民眾個資

國內、外「資安事件」的處理差異
多數的政府機關也是資安事件的受害者,但因為其角色的特殊性,相較於一般企業,必須特別重視災損控制、事件處理與資訊的透明度,當然,政府更不能因為委外或是任何因素而自認為是「受害者」,因為多數系統「遭入侵」後洩漏的資訊,都是民眾,他們才是真正的受害者。但在國內、外資安事件的處理上,存在著相當大的差異,其中最明顯的就是處理的順序(如圖一)。

 
從事資安的人士都知道,沒有「絕對的資安」。在日益複雜的系統架構、零時差漏洞充斥的時代,資安防護的壓力與日俱增,所以在國外眾多的政府資安事件報告中,大多是對事件本質的檢討,未來精進的作法,額外資源的投入,鮮少看到追究責任的內容;反言之,國內政府機關若發生資安事件,就立即啟動檢討模式,反而比較少看到最後的檢討報告與精進作法。2018新加坡醫療系統遭駭事件中,總理李顯龍強調新加坡必須繼續向數位時代前進,並指示網路安全部門加強防護。其正面、積極的處理態度,非常值得參考。

建立資安人培的正向循環
「國家資通安全戰略報告:資安即國安」中明白點出,政府和產業現有資安人培質量的不足,是必須突破國家整體資安防衛能力困境之一。政府機關在資源不足、限制眾多的不良環境下,若是再加上凡事先「究責」的外在壓力,要想培育出足以抵抗外界駭客能量的優秀人才勢必更加困難。特別是資通安全法中特別要求必須進行情資分享,未來各機關或民間企業若主動發現、主動通報的案件,都應該研議合理、適當的免責條款,將重點置於事件處理、受影響民眾權益確保、未來防護機制精進及迅速分享資安情資進襲區域聯防,這樣應該會更有意義!也唯有如此,才不會讓資安從事人員感到灰心與無助,逐步建立正確認知、建立資安人培的正向循環!

本文作者目前任職於KPMG數位科技安全(Cybersecurity)服務部協理