|
前言
全球資安事件頻傳,根據世界經濟論壇《2018年全球風險報告》,「網路攻擊」在十大可能風險中排名第三。此外,駭害攻擊手法層出不窮,台灣在地理上佔據重要戰略位置,是資安威脅的第一線戰場,政務公務機關的資安威脅以 APT攻擊為最大宗,直接影響國家安全。國際間針對華為與中製設備的爭議持續延燒,台灣政府更明定八大關鍵基礎建設禁用中國產品,關鍵基礎建設資安威脅倍增。本文將從資通安全責任等級分級推動,協助製造商重新思索設計安全產品需考慮的重點。
|
作者:群暉科技股份有限公司 / 安全事件應變組 李宜謙經理
======
◆《資通安全管理法》上路,落實資安即國安
2018年9月總統府公告
「資安即國安」資安戰略報告,宣示三項國安級的資安目標,分別是打造國家資安機制,確保數位國家安全;建立國家資安體系,加速數位經濟發展;推動國防資安自主研發,提升產業成長。更明確定義出
「國家資安防護鐵三角」的組織架構,重新定義資安權責架構,提供更明確、透明且即時的資安情報交換與危機應變機制,使各式資安威脅能被有效且快速地處理,形成正向循環,降低資安威脅的風險。
2019年1月上路的
《資通安全管理法》,不僅讓資安從行政命令升級為法律位階,明確劃分資安管理措施之法源依據,能有效強化該法之執法效力;更從公務機關擴展至特定非公務機關,涵蓋
能源、
水資源、
通訊傳播、
交通、
銀行與金融、
緊急救援與醫院、
中央與地方政府機關以及
高科技園區等
八大關鍵基礎設施,落實資安即國安的國家戰略。
過去公務機關成了駭客攻擊或勒索病毒的受災戶,無法即早發現威脅,難以建立有效的資安事件通報及應變機制。政府想推動資安,也苦無法源依據,如今有了專責主管機關統一做策略規劃和稽核,不僅能實質改善政府的組織運行方式,也能讓產業邁向資安的腳步走得更為穩健。
事實上,早在 P2P 檔案分享軟體的時代,就已經有公部門文件透過 P2P 軟體流出。隨著新科技的發展,政府機構所保有的機敏資料,亦可能在未發現新科技所帶來的新型資安威脅下,遭外洩或滲透。當科技完全進入人們的生活時,不安全的裝置會讓個人資訊攤在陽光下,甚至危及人身安全,同時也讓國家安全曝露在危險之中。因此,《資通安全管理法》提升資安規格,不只是規範設備和辦公的情境,也讓國家開始思考全面性的安全策略,也就是「資安即國安」戰略。
◆ 資安責任等級分級,落實資安的第一步
《資通安全管理法》推出「資通安全責任等級分級原則」,分成
A 級:業務涉及國家機密,與全國性民眾服務和個人資料檔案;
B 級:區域或地區性;
C 級:有自行或委外發資訊系統並設置伺服器者;
D 級:未自行或委外開發資訊系統未設置伺服器;
E 級:全部資訊業務由其他機關兼辦或代辦,總
共五個等級。
過去普遍認為政府單位全都需要資安,最新的資安概念應調整為,在資源及資安人力有限的情況下,政府單位分級如同急診室傷檢分類一般,需要依據損害程度將單位分級,優先處理高危險群的重大資安事件,並即時通報。
例如,A 級單位擁有機敏資料,受損時影響幅度越大,當資安威脅發生時得在一小時內通報至中央,也需要最有經驗的資安專家協助處理,以降低全國災害的風險。此外,如未擁有資通系統且未提供資通服務者之E級單位,似無較高之資訊科技風險。
目前要求各級得配置一定的全職安全人員,要求
A、B 級單位限期兩年內導入
資訊安全管理系統「CNS 27001」,並在
三年內完成
第三方安全認證。這些要求只是資安的最低標準,光是盤點網路設備、進出口門禁等基本門檻,就難以落實。
有了《資通安全管理法》,讓政府組織跨出第一步。現階段五個等級,隨著風險評估的演進,公務單位也可能更動等級分類,才能建立完整回報機制,降低政府資安風險,逐步讓資通法與行政命令更加完善。
◆ 打造資安新思維:「沒有絕對的安全」
至於,政府各級單位應具備哪些資安概念,才能因應層出不窮的資安威脅呢?首先,在資訊科技安全和產品安全方面,需秉持的資安思維是「沒有絕對的安全」,掌握資安威脅,涉及風險控管。在無法百分百完全防止資安威脅的情況下,關鍵是讓既有機制照常進行,落實安全管理,做好風險評估,以降低損失的災害。
其次,在開發軟體和管理組織內部時,
風險控制應從過去認為的「安全」,轉換成
「不預設信任」,必須認證每個請求。
第三,持續改善既有的制度,形成正向循環。在
國家標準 CNS 27001 之中,各式資通訊設備均需有基本的防護措施,包含個人使用之電腦設備,避免遭受惡意軟體攻擊。
舉例而言,若你所屬的組織是 APT 攻擊的潛在高危險群,例如 A 級單位,面對資安威脅就得嚴陣以待,不能只是採用一般防毒軟體;若是低風險的單位,則具備基本資安防護即可。了解組織的狀態去評估風險,才能找到適合自身組織的安全防護軟體。
======
待續-
從資通安全責任等級分級推動,看製造商應如何重新思索「產品安全」(下)