最近勞動部勞動力發展署發生不幸的職安事件,一位負責資訊業務的公務人員輕生,引起社會輿論撻伐,勞動部部長下台!媒體披露的內部檢舉資料,直指北分署長的領導風格造成的職場霸凌,揭露了官場包庇徇私的惡質文化,同時也暴露政府體系資訊人員之人力編制與業務負荷的嚴重失衡,該員長期單獨作業,並無同事可相互支援,導致工作壓力過大,加上主管的管理不當而選擇輕生,讓國家損失了一位盡責的公職人員,實在令人痛心!
每當有事涉人民生命財產等有形的損害事件發生,大家會即時有「感同身受」的切膚之痛,而無聲無息的資安事件時時發生,造成的無形傷害,卻沒得到適當的關注,本文希望呼籲政府、企業、以及民眾加以重視。
網路世界裡,若關鍵基礎設施(如電力網、交通運輸等),一旦遭駭客攻擊而癱瘓或中斷,會直接影響人民生計,以及政府運作,造成社會不安,打擊人民對政府信任,因而被列為重大資安事件。而幕後主導者往往是國家層級的駭客組織,攻擊手法高深,追緝不易;反觀民間企業遭遇的駭侵,包括營業機密與個資的竊取,資料庫的加密勒索等攻擊,則多半屬組織型「黑帽」駭客所為,利用公開漏洞CVE的修補時差、或零時差Zero Day攻擊,以詐取錢財、打擊企業聲譽與市場競爭力為目的。民間企業受到加密勒索攻擊,為避免營運中斷造成的損失加劇及公司信譽受損,時常是冒著可能觸法(資恐防制法)的風險,支付贖金解決問題。讓駭客輕易獲取不當利益,反而招引更多駭客攻擊台灣企業,而落入變本加厲的惡性循環。另一類的資安威脅,則與地緣政治相關,尤其是中共國Communist China透過網路社群進行「心理戰、輿論戰、法律戰」,由在地協力者,在台灣散佈謠言,分化社會、製造恐慌,甚至以《反分裂國家法》及《國安法》在全球各地展開獵狐行動,抓補異議人士等,使得數位環境的安全與防護亮起了紅燈,讓民眾暴露於資安風險之中。
2018年資安管理法公佈實施之後,政府部門的資安防護體系,依序落實中。在資安事件的威脅監控SOC,通報應變CERT,情資分享ISAC上,區分為國家層級、領域/區域層級、以及關鍵基礎/機關層級,組織架構之防護體系甚為完備。由於私人企業並非資安法的監理範疇,目前僅由台灣電腦網路暨協調中心TWCERT/CC負責與民間企業進行資安預警、事件通報/協助應處、以及情資交換與回饋。但TWCERT/CC的人力與資源有限,如何能協防超過150萬家中小企業,應對強大組織型黑帽駭客之威脅,以及和國際相對應之組織進行交流?政府雖對業界提供協助培訓資安人才,但資源畢竟有限,產業的資安防禦與韌性有賴民間建立自我防護量能、提升韌性,亟須規劃建置公私協力的聯防體系。
資安治理體系,除了技術面積極建構縱深防禦外,仍需完善組織的資安管理制度,而政府亦須盤點資安法規,提出完整的配套措施,協助私人企業提升資安韌性。公部門已有資安法的規範,而私部門卻只有金管會的金融資安行動方案,對上市櫃公司的資安治理有詳細規範與準則,資安事件必須發布「重大訊息」保護股東權益。非金管會監管之公司行號,僅有零星法規,如個資法等。一般企業遭遇網路駭侵,往往擔心受到行政調查或面臨刑法訴訟風險,多半不會主動通報而選擇隱匿,自謀解決之道。但若沒找出真正「禍因」,予以根除,無法防堵類似事件不再發生。
因此,建議民間企業透過行業公、協會,建立起「資安互助,產業聯防」體系,設置行業/區域層級的通報應變及情資分享中心,以強化資安事件通報與應變量能。例如,軟協的「資安韌性促進會」,可扮演整合國內資安技術團隊角色,透過分工合作,建立「資安技術聯盟」,提供企業或政府所需之資安技術諮詢與支援服務,而「資安長聯誼會」的金融業、製造業、醫療業、電商零售服務業等行業SIG,可扮演威脅情資分享角色,協助事件之應變處置,鼓勵企業主動通報資安事件與預警,以保密方式和技術聯盟合作,建立起可信賴的「互助」機制,優先解決資安問題,再協助診斷並找事件根因,適時通報TWCERT/CC等業管單位,以案例方式分享其他SIG,達到「產業聯防」的目的。
.jpg_280x210.jpg)
