從防疫學防駭
在2020年上半年,武漢肺炎疫情持續嚴峻,臺灣防疫策略成為全球矚目焦點,從PTT護國神文、疫情指揮中心,到每日記者會等作為,都是阻擋疫情擴散的重要措施,資安防護同樣也是面對看不見的敵人(病毒),而我國防疫成功的經驗,在資安防禦上又能帶給我們什麼樣的啟發呢?
【從「PTT護國神文」學防駭】要能及早掌握情資,才有機會超前部署與即時應變
面對未知的武漢肺炎疫情,疾管署提早掌握資訊,才能及早判讀與因應,企業也要掌握與自身風險相關的資安情資,像是蒐集漏洞資訊才能預先修補更新,關注攻擊活動評估自己是否也會受害
【從「相信WHO的下場」學防駭】不相信單一情資來源,落實事實查核是重要關鍵
WHO如今已從醫療專業組織淪為政治組織,打擊情報可信度,而在資安領域當中,我們在面對各種情報來源時,不僅要抱持合理懷疑態度,也要多方交叉比對情報正確性,降低資安事件爆發速度及帶來的影響
【從「敵我意識」學防駭】打造「零信任」資安意識,落實最低限度授權是第一步
臺灣防疫能有好成績,是因為對中國疫情多一點心眼,才能及時拉高防疫等級;而在網路資安防護的工作上,我們也應持續關注國外資安事件和駭客組織動向,提高防護意識
【從「疫情指揮中心」學防駭】面對資安事件不能群龍無首,必須建立資安應變團隊
記取過去SARS慘痛教訓,政府開始建立疫情指揮中心,並在這次防疫過程扮演關鍵角色,相對地,企業面對重大資安事件時,不僅要具備資安應變團隊,背後也要有編組與演練的配合
【從《傳染病防治法》學防駭】授權企業制定資安防駭準則,資安演練落地是關鍵
從成立疫情指揮中心到邊境管制,都來自於《傳染病防治法》的授權;政府與關鍵基礎設施可以遵循《資通安全管理法》,企業則朝向制定資安政策和資安緊急應變計畫,作為落實資安防護的規範
【從「每日記者會」學防駭】讓可公開的資訊盡量透明揭露,是有效溝通之道
為了讓大眾能夠瞭解疫情事實並理解用意,在國內疫情緊張期間,中央流行疫情指揮中心在每日下午2點舉行的記者會,成為全民關注焦點,而這樣的溝通效果,也證實了透明揭露有更好的防疫成效。
【從「勤洗手與戴口罩」學防駭】企業與個人都該有資安衛生習慣,落實與持續是重要關鍵
為了阻隔身體接觸病菌,勤洗手與戴口罩是基本功,面對資安威脅,企業同樣可透過資安管理規定要求,以及持續教育與演練來提醒,而資安意識也應從小灌輸
【從「防疫國家隊」學防駭】打造資安國家隊發展資安產業,企業仿效提高資安防護量能
疫情期間,經濟部出面協調業者,確保防疫物資無虞;資安國家隊由資安鐵三角出面統整資安產業資源,企業可仿效國家隊資源運用,提升防駭力
【從「發送細胞簡訊」學防駭】善用ISAC或CERT分享資安情報,通知潛在利害關係人
防疫期間透過發送細胞簡訊預警,但企業遭遇到資安事件,通常不會主動對外通報,但可借力其他情報分享平臺做風險預警通報