圖片來源: 

攝影羅正漢

對於國內資安通報制度的建立與發展,在近期臺灣通報資安應變年會上,行政院資通安全處處長簡宏偉強調,「如果沒有通報,什麼事都不知道,在通報後,知道了就容易處理,也就能損害控制。」同時,他也特別公布政府機關通報現況,並說明相關機制該如何有效運作。

政府機關資安通報3大嚴重事件類型,以資料外洩最多

關於國內的資安通報現況,首先,簡宏偉公布去年度政府機關資安事件通報的統計,在2018年度,共有262件資安事件通報,其中146件是政府機關主動偵測發現通報,另有116件,是政府機關接獲資安警訊通告所進行的通報案件。若以嚴重等級而言,最嚴重的4級事件為零,3級事件有6件,其餘2級事件43件、1級事件213件。

對於資安事件分級,由於資通安全管理法今年初已施行,因此,簡宏偉先說明了相關變化。他表示,過去對於政府機關的資安防護,都是從行政命令的角度,而在去年通過資安管理法後,所有資安相關防護措施、通報機制、責任等級、情資分享,甚至連公務人員獎懲,全部有法律的依據。

而且,關鍵基礎設施的納入也很重要,因為,其中也包含了屬於民間的企業,所以,相關的法規,就必須要有清楚的限制與定義,透過這樣的方式,才能讓各機關的資安防護,能夠更上軌道。

行政院資通安全處近日公布2018年政府機關資安事件通報現況,資安處處長簡宏偉表示,去年共有262件資安事件通報,其中最嚴重的事件有6起,均屬於3級事件,主要是民眾個資外洩、資訊設備遭植入勒索病毒與系統中斷等。(攝影/羅正漢)

關於政府資安事件遭遇的事件類型上,以去年而言,主要是非法入侵、網頁攻擊為主,而在重大資安事件方面,簡宏偉進一步說明。在這6個3級事件中,主要可畫分為三大類型,包括機敏資料外洩(個資外洩)、核心業務系統或資料遭嚴重竄改(資訊設備遭植入勒索病毒),以及核心業務運作遭影響或系統停頓,無法於可容忍中斷時間內回復正常運作。其中以資料外洩類型為主,比例佔50%。

若將時間拉長來看,在2015到2018年間,政府機關資安事件的主要發生原因,根據資安處觀察,由外部主動惡意入侵的比例其實算少,最常發生的問題是網站設計不當、應用程式漏洞、弱密碼等。簡宏偉指出,這與政府機關委外問題有關,因為很多驗收只看功能面,他們未來將積極處理。

另外,若以去年主要的政府資安事件來看,他們也觀察到一些攻擊手法變化,例如,從利用網頁漏洞入侵政府機關,到以多種網站的框架或伺服器弱點攻擊,與寄送大規模社交工程惡意電子郵件,近期駭客更是改為在政府機關安裝VPN套件後,竊取資料回傳。

關於近年來政府機關資安事件主要發生原因,行政院資通安全處處長簡宏偉指出,最常見的問題是網站設計不當、應用程式漏洞、弱密碼等,其實外部主動惡意入侵的比例很少,未來將針對委外安全驗收問題進行改善。(攝影/羅正漢)

在資通安全管理法中,強調對於通報應變已有明確定義

關於資安通報機制的重要性,在2016年發布國家資通安全發展方案,就能看出端倪。在這項方案當中,政府制定了2017年到2020年的國家資安發展戰略,該方案包括四大關鍵,首先是完備整個資安基礎環境,其次是建構整個國家聯防體系,以及推升資安產業自主能量與孕育優質資安人才。

簡宏偉解釋,隨著基礎架構的完成,就能建構整個國家聯防體系,包括關鍵基礎設施之間,以及縣市政府之間的聯合防護。基本上,資安處期望透過這種方式,讓整個臺灣各公務機關形成綿密的網路,一旦資安事件發生,就容易掌握。

關於情資分享方面,簡宏偉也指出,自2016年資安處成立以來,開始推動整體關鍵基礎設施聯防,現已從以往的兩層制變三層制。簡單而言,從最底層的關鍵基礎設施提供者,通報到上層領域的情資中心,並且分享,而情資中心也將經過去識別化等方式,再分享到國家的情資分享中心。

對於這項改變,主要是資安處考量到各領域之間,有一些資訊並不適合分享,因此,針對不同領域,將有對應的處置方式。簡宏偉並指出,這些資料將是經過彙整、去識別化的形式,並在通訊傳播委員會與經濟部協助下,逐步建立。

事實上,近年資通安全管理法的通過與實施,已經代表政府意識到通報的重要性。簡宏偉更是強調,在整個資安管理法的架構中,通報是很重要的一件事。在通報的同時,也要情資分享,還要有可以稽核與管理的方案來掌握全局。不僅如此,之後每年也要將這些資訊送進立法院,如此一來,若是突然發生資安事件,就能知道各個政府機關是由誰稽核,或是輔導,以及系統是由誰開發。更重要的是,資訊送到立法院後,都將是公開的內容。

對於資安事件通報應變與情資分享,在資安管理子法架構中是相當重要的一部分,當中並有具體的定義與規範,包括訂定事件通報應變機制,以及通報、損害控制及復原、情資分享,還有調查處理及改善。(攝影/羅正漢)

至於法規的施行與落實,簡宏偉強調,通報不僅是義務,更是法律上明定要做的工作,例如,在資安法第14條,就針對通報有明確的定義。而且,在各機關角色與權責,也都有清楚說明,以公務機關而言,必須對上級機關提報資安維護計畫實施情形,或是通報資安事件與提出改善計畫,相對地,上級機關會對公務機關進行資安稽核,同時,主管機關──行政院也將監督上級機關。而針對民間機關等特定非公務機關,則由中央目的事業主關機關來處理,通報管理流程大致相同,較特別的是,行政院也可以同時直接對特定非公務機關,進行資安稽核。

在具體作法上,簡宏偉指出,現在都詳細定義通報的作法與內容。例如,在事件通報及應變辦法上,為強化各機關的因應,規範事件的分級,以及事前演練、事中通報及應變,並有事後改善的程序與機制;而在資通安全情資分享辦法上,提升各機關的資安預警能力,強化資安相關資訊的交流。

綜合而言,透過資安管理子法架構,從訂定事件通報應變機制、通報、損害控制及復原與情資分享,到調查處理及改善報告,將透過一連串的機制與流程,以強化重要機關的通報與應變能力。

另外值得注意的是,在通報流程上,依照現行法規要求需在一個小時內通報。簡宏偉指出,通報速度越快越好,初步的資訊可以不用太詳細,主要是能有助於資安處判斷,像是同一時間若收到多個通報,這也顯示事件範圍擴大。而在通報完成後,將進行事件等級審核的程序以及事件處理流程,基本上,較輕微的1、2級事件要在72小時內處理完成,3、4級事件則是36小時。他強調,越嚴重的事件,處理速度必須要更快,並在一個月內提出改善報告給上級機關與資安處。

而在資安事件分級的依據上,主要依照是否為核心業務,以及是否屬於CI關鍵基礎設施來畫分。而且,若事件發生在關鍵基礎設施,資安事件等級將比非關鍵基礎設施高;如果同一資安事件,影響兩個以上機關或領域,資安事件等級也將往上提升一級。

至於情資分享辦法中,現行法規也對情資已有清楚定義,包含像是情資分享的對象,以及分享方式,也將限制部分資訊為不能分享。


Advertisement

更多 iThome相關內容