行政院資通安全處處長簡宏偉在HITCON 2021一場演說中,透過淺顯易懂方式描繪資安思維與策略,希望讓普遍民眾對資安推動能有清楚認識。

圖片來源: 

攝影/羅正漢

近年來,大家都在談論日益嚴峻的資安問題,當中有些是企業面臨的威脅,有些是個人面對的威脅,但,到底什麼是國家層級的資安威脅?這些資安層面又有何差異?

有人質疑,為何資安要與國安掛勾?然而,他們可能不曾試圖瞭解背後關連與概念,或是常指責資安事件發生,但未站在不同角度思考如何幫忙,近日行政院資通安全處處長簡宏偉對此提出說明。

透過相當淺顯易懂的表達方式,介紹基本的觀念與議題,簡宏偉希望能讓大眾對政府推動資安產生更大的認同,協助不熟悉資安領域的人,建立相關背景認知的輪廓,了解到資安不只是政府的事。事實上,政府的確要將該做的事做好,但產業與個人也要一起協力。

政府對於資安事件與議題是如何解析?

以國家層級資安威脅而言,一般人可能馬上聯想到的是,有他國政府扶植的網軍,透過跳板攻擊臺灣,但政府考量的角度只有這樣嗎?

簡宏偉首先以GPS定位的普遍應用,舉例說明資安何以與國安有關。

在2018年,有日本人感念臺灣對311的幫助,運用跑步與GPS定位,以及Google地圖時間軸,顯示愛臺灣的文字。但這樣的作法,也會讓敏感地區資訊被記錄,例如,民眾使用健身App記錄的地理資訊,其實就相當敏感──在國內,可以透過這樣的程式與數據,看到宜蘭監獄的巡邏路線圖,而國際上,則能看到中東衝突地區外國軍事基地營區。

雖然這只是個人應用,GPS定位也僅是服務的一項功能,但從上述國防的角度來看,其實,不論是個人資料、資安、國家威脅,其實都相互關連。

還有像是個人資料外洩,雖然看似只攸關個人,但政府也必須關注,因為從社會安全面而言,資料外洩可用於詐騙,而國家安全面,資料外洩也能被用來建立個人側寫(Pro­file)。

簡宏偉指出,這也是為何臺灣2016年就主張資安即國安,隨著科技與威脅的演變,政府已充分體認三者是一脈相承。

再從國際上發生的種種資安事件來看,有那些攸關國家安全議題?最明顯的例子,就是對能源、金融產業的攻擊,因為相關資安事件可能造成經濟崩潰,危害國家安全,但不僅如此,在2021年發生美國淨水廠遭駭,對方意圖將水中的氫氧化鈉濃度調高100倍,使添加物超過上限,這些也都是資安事件,影響的層面不只是社會安全、社會穩定,還包括人民生命財產,這也是近年許多國家都在強調關鍵基礎設施防護的原因。

政府推動資安的挑戰:人力、資源與落實

面對各式資安議題,政府在資安推動上,又是如何應對?

簡宏偉表示,資安其實可以畫分三大層面,分別是國家層級的資安、政府與社會層級的資安,以及個人層級的資安。

在此當中,個人的資安,對應到個人資料保護法;國家層級的資安,對應到國家安全法;而政府與社會的資安,就是資安管理法的範圍。這些是政府之前已經做的事。

若更進一步、從國際資安戰略來看,簡宏偉指出,推動資安,並不是政府說了,就能做得好,需要與產業合作。

以政府角度而言,除了做好法規治理,並特別重視關鍵基礎建設,同時,政府與業界也需要共同發力,帶動國內資安產業興起,並要讓所有產業都有資安。此外,包括提升產業資安意識,政府與產業合作,以及如何確保供應鏈安全,已是每個國家都再關切的議題。

但是,這些工作都是逐步推動,並非一蹴可成,而人力與資源的面向,更是近年我們看到的最大挑戰。

特別是人才不足的問題,簡宏偉指出,雖然國內有資通安全管理法,要求ABC級機關設資安長與專責人力,同時,對於國內產業,也將要求上市櫃公司依不同等級來設置,藉此推動產業對於資安治理與文化。

因此,資安人才的需求端已經創造,但供給端的缺口很大,他強調,這不只是政府與民間在競爭,人才需求是全球競爭,因為,其他國家也會向我們挖角。因此,國內資安人才培育,需跨部會進行並與產業、社群合作。

而且,除了國家與產業的面向,事實上,在每個面向中,都有本身的防護工作要推動。以個人來說,必須體認到個資保護的重要性,謹慎提供這些資訊。例如,今年調查局破獲房仲小白機的事件,對於一般民眾而言,除了責怪業者沒有妥善保護個資,也必須反思是否管好自己的個資,例如,在填寫線上或實體活動資料時,是否曾注意到個人資訊的去向,以及對方能否妥善保管、不外洩的狀況。

而政府方面也有同樣的狀況,隨著資通安全法逐步推動,近年也將開始要求產業做好資安,而政府對於機關組織,也將從之前的逐步要求,進一步發展到逐步落實。

從國際資安戰略發展來看,政府本身除了從法規治理出發,並重視關鍵基礎建設安全,還要推動防禦、應變與復原,以及物聯網安全、產業資安環境與資安意識,但這些其實需要政府與產業的合作,才能有效進行,同時近年更聚焦於供應鏈安全與資安人才培育。

另一方面,政府在資安推動上,從風險管理角度,資源分配與成本也是重要考量,這是各界往往忽略之處。

簡宏偉表示,在他們資安稽核的經驗中,常看到許多機關單位為了節省經費,而將印表機的管理維運作業開放給廠商透過遠端來維護,但這就會帶來一定程度的資安風險。

但他更要強調的是,資安並不是要無限上綱,通通做到百分百安全,在風險管理的考量因子中,其實包含了資源的分配。

他用一個簡單易懂的例子,來說明這個考量原則,「不要用一千元去保護十元,但可以用一百元去保護一千元。」

事實上,在每個層面其實會有不同的考量,例如,國家安全領域需要做到百分之百,這時「用一千元保護十元」,都是必要手段;但在政府與社會層面,考量的是風險管理,我們可以「用一千元保護一萬元」,但不要「用一千元保護一百元」。

而且,從國家角度來看,要讓整體環境的安全防護提升,需要每個組織、企業自己都把資安做好。

對此,簡宏偉提到木桶理論。這常被引用在資安領域,其概念是木桶的最大裝水量,取決於最短的一根木材,說明整體資安防護,要提升到一致的水準,因為木桶裝滿水的高度,就是這根短木板的長度,一旦超過,就會溢出。

不僅如此,資安上還有種種考量,例如,當為了因應資安而做出種種限制,使得組織人員作業不方便時,往往會想出奇怪招式與對策,如同「生命自然會找到出路」道理。例如,在一些地方內部網路雖然嚴格禁止把資料送出去,但工作人員仍能用手機傳出去,因此,重點將是如何改善資安管理。

資安落實與跨域聯防是近年政府資安推動主軸

知己知彼,百戰不殆,想要做好資安,對於那些有意滲透、傷害我們的對手,不能不了解。

而從資安攻擊的來源與動機來看,我們需知道:入侵者的型態有哪些?

以最簡單的方式來看,簡宏偉指出,可區分為組織型與非組織型,而組織型又可細分為兩種:一種是有政治目的的網軍,像是Winnti等,一種是有經濟利益的駭客組織,像是Darkside、REvil等。

為了讓大家更容易理解,若對比現實社會,組織型的網軍就像軍隊,組織型的駭客組織就像黑幫,非組織型的入侵者則像小偷。

對於不同來源的威脅,基本上,政府主要聚焦在組織型的攻擊,會協助處理,而針對個人的威脅,政府也會關注,但我們自己同樣要做好防護。

關於資安攻擊的來源,主要分為三大類,包括組織型的網軍、組織型的駭客組織,以及非組織型的入侵者,政府主要聚焦的是組織型的攻擊,但同時也要推動產業與個人重視安全防護。(攝影/羅正漢)

基本上,在面對組織型的攻擊時,政府會更花更多心力在國家級的攻擊層面。不過,面對真正的網路作戰部隊,其實各機關政府是擋不住的,因此防護策略是需要政府、國安體系聯手合作,才有辦法因應,但並不是要做到完全阻擋,而是希望要把衝擊降到最小。

真的不容易抵擋資安威脅嗎?例如,年初發生、轟動全美的SolarWinds供應鏈攻擊事件,不只是震撼美國的政府和民間,全球資安領域也在關切原因與過程,而這家IT廠商從遭入侵到察覺受駭,時間長達一年三個月,溯源追蹤必須花上幾個禮拜,這也顯示國家級駭客組織攻擊的威脅之難防。

因此,他也談到資安攻擊與防護的最大差異。基本上,發動攻擊時,對方只要在範圍中找到一小點的破洞,就能趁虛而入;但防守時,我們必須要確保整個範圍都沒有問題。而這其實相當難,所以資安防護才會強調縱深防禦,透過第二層、第三層防護來鞏固安全。

只是,在機構與企業自身的防護之外,整體供應鏈與委外安全也是近年各界關注焦點,因此這也可以看出,資安防護的範圍越來越大。

但實務上,更應注意的地方在於:許多的資安事件之所以發生,不一定是因為對方擁有高深的攻擊技術,而是身為目標的我們,在資安的層面存在著種種控管不落實的問題,例如:採用過時的作業系統,軟體漏洞沒修補,存在共用密碼的問題等。

因此,近年政府在推動資安防護的策略上,我們常看到會所強調的重點,在於發展聯防體系,以及推動資安落實,來因應高級的威脅,以及減少低級的錯誤。

整體而言,事實上,資安即國安的戰略報告內容,其實是很全面的說明資安上的挑戰,提出願景、目標與方針,並規畫推動策略,但對於一般民眾而言,這些專業領域的資訊不易吸收,加上資安本就是一環扣一環,許多觀念需要能先建立。

儘管還有許多資安議題與面向可談,但從上述內容來看,已將整體資安概念的輪廓描繪出,讓大家在關注資安議題的同時,可以有較通盤且全面的角度去看待,讓大家對於資安的想像,不要只有局部的認知。

繼續閱讀:2021政府機關資安現況揭露,近年三級事件通報人為疏失是主因

熱門新聞

Advertisement