跳到主要內容區塊

ACW

從資通安全責任等級分級推動,看製造商應如何重新思索「產品安全」(上)


前言
全球資安事件頻傳,根據世界經濟論壇《2018年全球風險報告》「網路攻擊」在十大可能風險中排名第三。此外,駭害攻擊手法層出不窮,台灣在地理上佔據重要戰略位置,是資安威脅的第一線戰場,政務公務機關的資安威脅以 APT攻擊為最大宗,直接影響國家安全。國際間針對華為與中製設備的爭議持續延燒,台灣政府更明定八大關鍵基礎建設禁用中國產品,關鍵基礎建設資安威脅倍增。本文將從資通安全責任等級分級推動,協助製造商重新思索設計安全產品需考慮的重點。

作者:群暉科技股份有限公司 / 安全事件應變組 李宜謙經理

======

◆《資通安全管理法》上路,落實資安即國安
2018年9月總統府公告「資安即國安」資安戰略報告,宣示三項國安級的資安目標,分別是打造國家資安機制,確保數位國家安全;建立國家資安體系,加速數位經濟發展;推動國防資安自主研發,提升產業成長。更明確定義出「國家資安防護鐵三角」的組織架構,重新定義資安權責架構,提供更明確、透明且即時的資安情報交換與危機應變機制,使各式資安威脅能被有效且快速地處理,形成正向循環,降低資安威脅的風險。

2019年1月上路的《資通安全管理法》,不僅讓資安從行政命令升級為法律位階,明確劃分資安管理措施之法源依據,能有效強化該法之執法效力;更從公務機關擴展至特定非公務機關,涵蓋能源水資源通訊傳播交通銀行與金融緊急救援與醫院中央與地方政府機關以及高科技園區八大關鍵基礎設施,落實資安即國安的國家戰略。

過去公務機關成了駭客攻擊或勒索病毒的受災戶,無法即早發現威脅,難以建立有效的資安事件通報及應變機制。政府想推動資安,也苦無法源依據,如今有了專責主管機關統一做策略規劃和稽核,不僅能實質改善政府的組織運行方式,也能讓產業邁向資安的腳步走得更為穩健。

事實上,早在 P2P 檔案分享軟體的時代,就已經有公部門文件透過 P2P 軟體流出。隨著新科技的發展,政府機構所保有的機敏資料,亦可能在未發現新科技所帶來的新型資安威脅下,遭外洩或滲透。當科技完全進入人們的生活時,不安全的裝置會讓個人資訊攤在陽光下,甚至危及人身安全,同時也讓國家安全曝露在危險之中。因此,《資通安全管理法》提升資安規格,不只是規範設備和辦公的情境,也讓國家開始思考全面性的安全策略,也就是「資安即國安」戰略。

◆ 資安責任等級分級,落實資安的第一步
資通安全管理法》推出「資通安全責任等級分級原則」,分成 A 級業務涉及國家機密,與全國性民眾服務和個人資料檔案;B 級區域或地區性;C 級有自行或委外發資訊系統並設置伺服器者;D 級:未自行或委外開發資訊系統未設置伺服器;E 級:全部資訊業務由其他機關兼辦或代辦,總共五個等級

過去普遍認為政府單位全都需要資安,最新的資安概念應調整為,在資源及資安人力有限的情況下,政府單位分級如同急診室傷檢分類一般,需要依據損害程度將單位分級,優先處理高危險群的重大資安事件,並即時通報。

例如,A 級單位擁有機敏資料,受損時影響幅度越大,當資安威脅發生時得在一小時內通報至中央,也需要最有經驗的資安專家協助處理,以降低全國災害的風險。此外,如未擁有資通系統且未提供資通服務者之E級單位,似無較高之資訊科技風險。

目前要求各級得配置一定的全職安全人員,要求 A、B 級單位限期兩年內導入資訊安全管理系統「CNS 27001」,並在三年內完成第三方安全認證。這些要求只是資安的最低標準,光是盤點網路設備、進出口門禁等基本門檻,就難以落實。

有了《資通安全管理法》,讓政府組織跨出第一步。現階段五個等級,隨著風險評估的演進,公務單位也可能更動等級分類,才能建立完整回報機制,降低政府資安風險,逐步讓資通法與行政命令更加完善。

◆ 打造資安新思維:「沒有絕對的安全」
至於,政府各級單位應具備哪些資安概念,才能因應層出不窮的資安威脅呢?首先,在資訊科技安全和產品安全方面,需秉持的資安思維是「沒有絕對的安全」,掌握資安威脅,涉及風險控管。在無法百分百完全防止資安威脅的情況下,關鍵是讓既有機制照常進行,落實安全管理,做好風險評估,以降低損失的災害。

其次,在開發軟體和管理組織內部時,風險控制應從過去認為的「安全」,轉換成「不預設信任」,必須認證每個請求

第三,持續改善既有的制度,形成正向循環。在國家標準 CNS 27001 之中,各式資通訊設備均需有基本的防護措施,包含個人使用之電腦設備,避免遭受惡意軟體攻擊。

舉例而言,若你所屬的組織是 APT 攻擊的潛在高危險群,例如 A 級單位,面對資安威脅就得嚴陣以待,不能只是採用一般防毒軟體;若是低風險的單位,則具備基本資安防護即可。了解組織的狀態去評估風險,才能找到適合自身組織的安全防護軟體。

 ======

 待續-從資通安全責任等級分級推動,看製造商應如何重新思索「產品安全」(下)