長期協助國內民間企業資安事件處理的TWCERT/CC,在2024年有了不同於以往的重大轉變,從今年元旦起,這項業務轉由國家資通安全研究院(資安院)維運。特別的是,之所以會有這樣的變化,其實與一年前國外研究人員通報國內iRent資料庫曝險,有很大的關係。

關於資安院接手TWCERT/CC一事,我們在1月中旬因採訪TWCERT/CC時恰巧得知,今年2月資安院副院長兼發言人吳啟文接受我們專訪,也說明了資安院接手後的首個變化,就是讓民間企業資安事件通報受理時間,調整為24x7全天候都有值班人員負責。不過,大家可能更好奇的是,為何會有這樣的調度?

對於這項問題,在一個月前的數位發展部(數位部)例行記者會上,時任數位部部長唐鳳與資安院院長何全德出席,在這場活動我們得知了答案:這原來是唐鳳去年向何全德提出的建議,要資安院接手TWCERT/CC業務。

而這起事的開端,要從2023年初國外研究人員通報iRent資料庫曝險的事故說起。當時,對方因為連繫不到國內業者,進而直接聯繫到唐鳳,因此她再將這項消息趕緊通報TWCERT/CC因應。

這也讓他們意識到,不只是公務機關與8大關鍵基礎設施,由各個部會所管轄的眾多大大小小民間企業(像是iRent事件的主管機關是交通部),其實都需要這樣的即時通報,甚至是主動協助的服務。

再加上,依據目前資安法第18條的規定,在知悉重大資通安全事件時,主管機關或中央目的事業主管機關得提供相關協助,不論是否為關鍵基礎設施。

因此,後續數位部只要獲知重大個資相關事件,就會要求資安院派人前往事故單位,進行個資行政調查,像是從技術面檢視系統、架構跟配置有無問題,以及企業找廠商進行事件鑑識跟處理後,檢視後續補強措施是否足以改善事件根因。例如,去年5月誠品生活發生個資外洩事件,就開始執行實地行政檢查。

由於TWCERT/CC與資安院經常同時派人協助,雙方逐漸有了革命情感,於是唐鳳便提出這樣的構想,讓TWCERT/CC直接進入資安院。

今年1月我們因採訪TWCERT/CC而恰巧得知改由資安院接手維運,4月底數位發展部正式公布這項消息,除了資安院院長何全德揭露推動TWCERT/CC業務的5大策略,時任部長唐鳳也解釋了為何會有這樣的調度,其實是與2023年初國外研究人員通報iRent資料庫曝險事件有關。

協助民間企業的資源與能量,可望比過去更為充沛,並促進更有效率的公私聯防

基本上,TWCERT/CC這個由民間發起的臺灣電腦網路危機處理暨協調中心,成立已超過25年,2019年由臺灣網路資訊中心(TWNIC)二度接手維運。

值得我們關注的是,如今資安院接手,將帶來不同於以往的意義,因為這次接手的資安院,是國家層級的行政法人。

資安院院長何全德表示,雖然全球各國都有這樣的CERT/CC存在,但都是純民間的組織在接受通報應變,背後沒有專業法人來提供各種技術協助,如今,這個有如網路資安事件119的TWCERT/CC,在行政法人資安院的支持下,可說是全球首例,韓國雖然也有類似的配置,但不像資安院有那麼多的資源,包括院內250名的人力為後盾,去協助民間企業應變通報,因此值得期待。

再者,資安院雖只成立一年多,但先前已經承接前行政院資通安全會報技術服務中心業務,有長期處理國家層級資安事件與協作聯防的經驗,因此,未來TWCERT/CC也將善用這些經驗幫助民間企業。

何全德認為,這也形同要協助國家打造第9項關鍵基礎設施。畢竟,現行法律規範並未要求民間企業主動通報資安事件,不像我國資安政府機關與8大關鍵CI在資安事件通報應變上,有資安法的規範。如今,以公私聯防角度來看,現在資安院為了讓企業願意通報,也將藉由更多服務的方式,來促進公私協力與深化情資安分享。

他也舉例,當資安院掌握某個軟硬體漏洞的情報,不只使用這些產品的政府機關需要知道,民間企業也有這樣的需求,只是以往可能要經過好幾道程序,才能輾轉通知對方,現在則可以加速這樣的流程。

資安院院長何全德指出,他們的原有服務範圍是公務機關與關鍵基礎設施,如今進一步擴展到民間企業的資安事件通報,因此,未來TWCERT/CC也將善用這些經驗來幫助民間企業。並成為公私領域間的重要橋樑。

從「產業供應鏈」擴大推動,強調「主動服務」增加企業信心以建立認同

另一個大家關心的重點,TWCERT/CC在國內宣傳多時,雖然大家或許已經知道這個組織存在,但還有不少國內企業沒有真正了解其作用與幫助。

前一兩年,我們已經注意到,金管會也在推動國內1700餘家上市櫃公司,加入領域ISAC或TWCERT/CC,希望促進資安情資分享。

對於未來還能如何推動?資安院院長何全德表示,在2024年接手其業務後,將透過5大策略層面來達成目標,包括:擴大推廣會員服務、提高主動通報誘因、結合行政指導擴展、強化公私鏈結聯防,以及深化國際合作交流。

在這5大策略中,「擴大推廣會員服務」一項是首要重點。何全德指出,目前TWCERT/CC會員數約1500個,資安院接手後已成長10%,希望年底可以1萬個會員為目標。

他並透露,最新作法會從產業供應鏈關係出發。例如,無店面商業同業公會、台灣資安主管聯盟、高科技聯盟、SEMI國際半導體產業協會等,就是可以加速擴散TWCERT/CC的重要聯絡管道。

這樣的作法是否有更好效果?我們認為,藉助不同產業公會聯盟之力,有如衛星城市的擴散方式,確實有效加速推廣,而不是單靠自己去宣傳。

此外,他們還有其他加強宣導方式,例如,在5月舉行的臺灣資安大會上推廣TWCERT/CC,並且還有TW-ISAC的新規畫,之後也將藉助國內其他各個部會之力,持續擴大服務會員數量。

何全德強調,只靠資安院是不夠的,除了與金管會、教育部、數位產業署合作,未來還可以試著從行政院工程會的採購層面出發,一起來共同推廣。

不只擴大推廣會員服務,還有一個重要主軸受關注,就是資安院提出了「主動服務」的策略,讓人為之驚艷。畢竟,通常機關單位多是被動等待企業請求協助,若要主動也需要有充足的資源與能量去進行。

對此,何全德有進一步的說明,他們將以更主動的方式提供各種服務,不僅要為TWCERT/CC企業會員帶來更多好處,也要增加企業他們的信心,用服務的方式來爭取更多認同。

因此,資安院的現行重點,就是希望在先前TWNIC維運的基礎上,採取「主動服務」及「品質再提升」原則,來持續精進發展,也就是說,將藉由主動蒐集、主動協處、主動分享,來進一步做到主動服務。

特別的是,他們還提供了兩起主動協助民間的案例,讓外界了解公私聯防的效益,以及加入TWCERT/CC會員的好處。

例如,今年2月有研究人員發現,國內一家工業材料供應商內部資料被公布於地下論壇,由於該公司日前剛申請加入TWCERT/CC會員,因此得以迅速聯繫對方,提供相關建議,以及協助後續緊急應處。

另一個案例是在今年3月出現,相關情資研究顯示有一樁針對某郵件防護系統發動的供應鏈攻擊,資安院除了協助公務機關,進行事件通報應處及追蹤系統修補進度,同時也以TWCERT/CC角度,通知民間受害單位處理。

為了進一步打響TWCERT/CC知名度,資安院強調從產業供應鏈與藉助各部會之力,擴大推廣TWCERT/CC會員服務,同時也將提供更多主動服務,包括提供資安事件相關專業諮詢服務等,用服務方式爭取更多認同。

主動幫助民間企業是否可能帶來負面影響?資安院:不與民爭利,協助至上

雖然資安院願意提供這樣的幫助,外界均樂見其成,但是否會造成一些新的挑戰,例如企業可能被動等TWCERT/CC協助的狀況?

會後,我們進一步詢問資安院通報應變中心主任孫偉哲,他表示,以TWCERT/CC現行運作而言,是以「情資分享」、「企業聯防」為主要定位。

對於企業而言,如果不幸遭遇資安事件,TWCERT/CC秉持不與民爭利原則,協助民間企業會從提供諮詢、給予技術建議的角度出發,而非第一時間直接介入處理,這個部分還是會建議企業找資安廠商協助,所以,不會因此就讓企業變得被動。

另外,他們相當重視情資分享與回饋,例如,TWCERT/CC會針對暗網站臺或論壇賣場做販售資訊蒐集,若發現國內民間企業相關資料遭上架販售,就會主動通知對方,但更重要的是,後續他們也希望企業在調查後,若發現確實有受害跡象,能把相關資訊回饋給TWCERT/CC,像是攻擊來源、攻擊手法等情資,這樣才能有利於情資分享,讓其他會員可以參考及進行聯防。

無論如何,這些年民間企業資安事件頻傳,這樣的聯防機制,公私領域通報應處效率的提升,已是相當至關重要的事。

由於推動公私協作聯防、促進國內企業強化資安,是這些年政府積極在推動的重要任務,如今資安院接手TWCERT/CC,我們也期盼,隨著協助民間企業的資源與能量,有進一步的增長,有助於資安認知與互信的提升,並促進更廣泛的企業正視資安情資的價值,以及投入資安防護改善。

關於資安院接手TWCERT/CC業務所提出的5大策略,深化國際交流也是重點。何全德表示,CERT/CC是全球性的組織,持續參與國際資安組織的活動,深化與我友好國家的互信溝通及鏈結,也將是他們分內的重要工作。此外,資安院今年還有推出NICS臺灣資安計畫,這是半年前Google.org透過捐助經費所推出,目標是希望透過兩年計畫協助至少國內3千家的中小企業、微型企業與創新企業,做好資安防護的工作。

熱門新聞

Advertisement