iThome
政府機關和學校今年兩大首要風險是社交工程手段和駭客的威脅,又以社交工程手段的衝擊最大,未來一年也最可能發生,這是今年突然崛起得特別留意的風險。其次,資安漏洞事件和勒索軟體資安事件則是今年次要風險。
對政府機關和學校來說,人員依舊是最大的防護弱點,來自社交工程的威脅,連續2年都是名列第一個資安風險,今年依舊是政府機關資安長最警戒的項目。這也讓政府機關對於釣魚郵件演練工作更加重視。
尤其近來更傳出,釣魚郵件偽裝成行政院國家資通安全會報技術服務中心的名義,假借要進行駭客攻擊事件的調查,來詐騙企業或政府機關下載惡意程式的檔案,政府機關本來就有有一套例行程序來配合這類來自技服中心的資安調查,但是,承辦人員若沒有第一時間察覺這是一封偽造的釣魚信件(尤其是寄件email來自商業網域而非政府機關網域)就會上當而下載了問題的副檔。
在今年資安大調查中可以看到,隨著社交工程威脅居高不下,釣魚網站的威脅也成了政府機關必須重要的衝擊高發生風險也高的第一象限風險。駭客社交工程手段越來越多元,政府機關也得採取更多不同方式的演練手法,定期提供社交工程手法,更多最新的釣魚郵件範例,來提高公務人員對最新釣魚手法的警戒心,這是政府機關每年必備的資安功課。
不過,今年值得稱許的是,資安漏洞的風險層級下滑不少,主要是因為近年來多次突發性的資安漏洞,也讓大家逐漸練就出一套緊急修補的應變對策,也就減少了這類風險的影響,在今年的排名下滑到次要風險項目中。
政府機關的資安布局,隨著數位部的設立,今年開始也將有很大的改變,過去統籌政府機關資安事務的行政院資通處,獨立出來成了數位部旗下的資通安全署。從處級單位,提升到署級單位,不只人力編制、預算可以有更充沛的資源,對於政策也有更大的規劃權限,有助於推動全國統一的資安政策,而不僅止於政府機關的資安防護政策,對於政府機關各類資安風險的因應,可以有更大的作為和整體性的對策。
除此之外,今年有一項國外這兩年特別重視的資安威脅,也開始在臺灣浮現,就是軟體供應鏈的資安事件,尤其是鎖定了臺灣相關政府機關與大專院校。在今年資安大調查中,可以看到政府機關資安長將這項風險視為發生機率高,但衝擊還不大的風險,因此名列在第三象限中。
可是,軟體供應鏈的資安問題,就像是資安防護網中的破口,一但出現了沒有料想到的供應鏈漏洞,可能帶來連動式的威脅影響,能否提前發現自家所用軟體,是否發生這類風險,需要有一套軟體物料清單(SBOM)機制,來提高軟體元件安全性的透明度。這也正是為何美國白宮下令,要求聯邦政府採購的軟體都必須要提供軟體物料清單的功能,就是要能更快掌握自己所用的軟體的成分,一但出現漏洞,不用被動的等待廠商通知,自己就能主動盤點更快發現漏洞來修補。
臺灣目前對於軟體物料清單的討論還不多,也沒有成為政府強制要求的必備採購要求,因此,對於軟體供應鏈風險的掌握能力也就更為不足,值得政府機關資安長留意,國外相關軟體供應鏈漏洞發生時,得更快反應才行。
企業資安風險圖製作說明 在iThome 2022年CIO暨資安大調查中,由企業自評各資安項目的兩項指標,一項是該項目對企業帶來的衝擊程度(衝擊極高和衝擊極低),另一項是這個項目未來1年的發生風險(極可能發生與極不可能發生),再換算成不同程度的量化數據來製圖。垂直軸是該項目對企業的衝擊,位置越往上代表衝擊越大,水平軸是企業未來1 年發生該項目的風險,位置越右,代表可能性越大。紅色文字的項目為今年發生風險明顯提高者。
問卷說明 大調查執行期間從2022年7月1日到29日,對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管,進行線上問卷,有效問卷416家,其中61.9%填答者為企業資安最高主管。
資料來源:2022 iThome CIO大調查,2022年8月
熱門新聞
2024-04-29
2024-04-29
2024-04-28
2024-04-29
2024-04-29
2024-04-27
2024-04-26
2024-04-26