處理資安事件的正確心態

2018 / 09 / 25

邱述琛

國家安全會議近日公布國內第一部「國家資通安全戰略報告：資安即國安」，其中明確揭示，近年來資安事件駭侵層級，已升溫至攻擊政府體系與關鍵資訊基礎設施，以及關鍵民間產業，將影響國家安全。而整理近年國內外政府機構知名的重大資安事件包括：
－2015年美國人事管理局遭網路攻擊，導致400萬筆公務員及2,100 萬筆的民眾個人資料遭竊
－2016年美國總統大選十，民主黨總統候選人希拉蕊陣營遭駭客入侵，導致數量可觀的電子郵件外洩
－2016年國內某政府機關網站因提供會員相同之預設密碼且未強制更換，遭有心人士利用不當存取會員個資
－2018年國內某政府機關電腦教室之XP電腦遭駭客自國外入侵並植入零時差惡意程式，並對內部主機發動攻擊
－2018年新加坡遭受駭客精心策畫的網路攻擊，繞過各種安全防護機制，鎖定國家醫療資訊系統SingHealth竊取資料，並特別鎖定國家領導人之個資
－2018年國內某政府機關進行紅隊演練時，發現地下網站（暗網）有人販售國內民眾個資

國內、外「資安事件」的處理差異
多數的政府機關也是資安事件的受害者，但因為其角色的特殊性，相較於一般企業，必須特別重視災損控制、事件處理與資訊的透明度，當然，政府更不能因為委外或是任何因素而自認為是「受害者」，因為多數系統「遭入侵」後洩漏的資訊，都是民眾，他們才是真正的受害者。但在國內、外資安事件的處理上，存在著相當大的差異，其中最明顯的就是處理的順序（如圖一）。

從事資安的人士都知道，沒有「絕對的資安」。在日益複雜的系統架構、零時差漏洞充斥的時代，資安防護的壓力與日俱增，所以在國外眾多的政府資安事件報告中，大多是對事件本質的檢討，未來精進的作法，額外資源的投入，鮮少看到追究責任的內容；反言之，國內政府機關若發生資安事件，就立即啟動檢討模式，反而比較少看到最後的檢討報告與精進作法。2018新加坡醫療系統遭駭事件中，總理李顯龍強調新加坡必須繼續向數位時代前進，並指示網路安全部門加強防護。其正面、積極的處理態度，非常值得參考。

建立資安人培的正向循環
「國家資通安全戰略報告：資安即國安」中明白點出，政府和產業現有資安人培質量的不足，是必須突破國家整體資安防衛能力困境之一。政府機關在資源不足、限制眾多的不良環境下，若是再加上凡事先「究責」的外在壓力，要想培育出足以抵抗外界駭客能量的優秀人才勢必更加困難。特別是資通安全法中特別要求必須進行情資分享，未來各機關或民間企業若主動發現、主動通報的案件，都應該研議合理、適當的免責條款，將重點置於事件處理、受影響民眾權益確保、未來防護機制精進及迅速分享資安情資進襲區域聯防，這樣應該會更有意義！也唯有如此，才不會讓資安從事人員感到灰心與無助，逐步建立正確認知、建立資安人培的正向循環！

本文作者目前任職於KPMG數位科技安全（Cybersecurity）服務部協理

資安防護資安人培