iThome

2024年是臺灣大選年,每逢大選,政府機關格外繃緊神經,因為得面對更頻繁、龐大,甚至是攻擊手法不斷變化的各種網路攻擊。

政府機關資訊系統是重要的關鍵基礎設施,政府近幾年將資安即國安視為重要政策方向,投入許多資源來強化資安和數位韌性。9成政府機關與學校的資訊主管將資安列為年度重要目標,這個比例遠高於其他產業,今年平均資安投資更高達了2,536萬元,僅次於IT預算相對充沛的金融業。政府學校的資安預算占了IT預算的12.1%,甚至比數位轉型預算的比重要還要高。今年資安投資重點前三名包括了與弱點掃描、滲透測試和網路安全,這三類與對外服務的應用系統安全息息相關的項目。

這2年政府開始大力發展零信任架構,也讓政府學校的資安信心相對也比其他產業來得更高,對資安能力大致有信心的機關約占6成,甚至有3成是非常有信心,5.9%是極有信心。

不過,政府學校在2022年所面臨的資安挑戰依舊不小,政府機關學校平均會遭遇17起重大資安事件,平均可以提前5.3天發現潛伏的攻擊,這個預警偵測能力相對不高,比金融、服務、醫療都還要來得久。不過,政府機關學校的數位韌性表現較好,系統遭攻擊後的復原時間,平均只要2.9天,僅次於金融業的1.1天。

這幾年政府學校所面臨的重大資安威脅,每一年都不太一樣。2021年發生風險最高的前三大威脅是資安漏洞事件、駭客和社交工程手段。2022年,社交工程發生風險躍升到第一名,駭客攻擊依舊排名第二,資安漏洞事件的發生風險,則下滑到第三,這已反映出2022年政府機關大力改善自身應用系統安全品質的成果。

2023~2024年,國家級攻擊組織成為首要風險,也得同時因應不同類型資安風險

到了2023~2024年,政府學校CISO和CIO們,預期將更容易遭遇比過去更多元化的資安威脅類型。

未來1年,政府機關和學校將面臨的首要風險除了駭客還有來自國家級攻擊組織的威脅,社交工程手段則下滑到次要風險項目。尤其,2024年總統大選的緣故,政府機關資訊主管和資安主管格外警戒來自國家級攻擊組織的威脅。

對政府機關而言,過去2年,國家級攻擊組織帶來的影響雖然很高(2022年名列第三高衝擊),但是出現攻擊的可能性,在前兩年的排名都不算太高,在2021年名列第九,2022年則是名列第八,遠低於資安漏洞、釣魚網站、勒索軟體資安事件、資料外洩等。

但是到了2023和2024年,政府資安長突然提高了對這一項風險項目的警戒,評估發生可能性的排名,大幅提高到了第三,僅次於駭客和社交工程手段的發生可能性,在衝擊影響排名上,也預期比去年更高,國家級攻擊組織威脅對政府過關帶來的衝擊,在2023~2024年名列第二ㄡ僅次於駭客帶來的影響。而過去風險高的資安漏洞威脅,在2023~2024年的發生風險排名大幅下滑到第7名,與釣魚網站、勒索軟體資安事件、網路犯罪者的威脅排名相當。

不過,政府學校在未來一年需要留意幾項,風險威脅在這一年突然上升的項目,包括了來自物聯網的攻擊、透過行動應用的攻擊、挖礦攻擊,還有因為內部人員而導致的資安事件。這幾項雖然沒有進入衝擊高且發生風險高的第一象限,而是分散在衝擊高但發生風險低的第二象限,或是攻擊低但發生風險高的第三象限,可是都在進入第一象限的邊緣,這也意味著,很容易進入了必須特別警戒的第一象限。

政府學校除了得因應和過去不一樣的首要風險,還要留意這一些不同類型風險項目的威脅突然驟增,更讓政府必須警戒的資安防護場域更多,挑戰也更大,不只是提供服務的政府網站,還包括了政府行動應用,或是整合了物聯網的整合型應用都得留意。這也是未來一年,政府部分與學校資安主管的考驗,不再只是聚焦少數幾項風險來因應,得更有全盤性、全面性的資安因應策略和數位韌性作為,才能因應來自更多不同類型攻擊威脅的發生。這2年行政院開始大力推動的零信任架構,正是一種可以因應不同類型攻擊的強化作法,政府部門得加快腳步更積極導入才行。

過去5年,受惠於資安法的訂定,的確的大幅強化了不少政府部門的資安資源和防護能力,在2023年9月,數位部也預告將首度展開資安法的修法,來因應過去幾年推動上的問題,例如計畫將資安專職人員的設置,從行政命令將提高到法律位階來強化資安人力的設置,也計畫資安會報正式入法,來強化跨機關、中央地方聯防機制等。資安法的再次修訂,也有助於政府學校未來的資安防護能力和威脅因應能力。

 企業資安風險圖製作說明  在iThome 2023年CIO暨資安大調查中,由企業自評各資安項目的兩項指標,一項是該項目對企業帶來的衝擊程度(衝擊極高和衝擊極低),另一項是這個項目未來1年的發生風險(極可能發生與極不可能發生),再換算成不同程度的量化數據來製圖。垂直軸是該項目對企業的衝擊,位置越往上代表衝擊越大,水平軸是企業未來1 年發生該項目的風險,位置越右,代表可能性越大。紅色文字的項目為今年發生風險明顯提高者。

 問卷說明  大調查執行期間從2023年4月20日到5月10日,對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管,進行線上問卷,有效問卷407家,其中59.8%填答者為企業資安最高主管

資料來源:2023 iThome CIO大調查,2023年7月

熱門新聞

Advertisement