行政院社交工程演練擴及工友

重 點
● 中國網軍目標式攻擊從一般行政人員轉向職工庶務人員
● 提升職工人員資安意識，可降低社交工程攻擊成功機會

臺灣一直是中國網軍主要的目標式攻擊（Target Attack）對象，因應網軍攻擊型態轉型，行政院資訊室主任趙培因表示，從今年開始，由行政院自行舉辦的社交工程演練，則將進行社交工程演練的對象，擴及到一般部會進行相關演練都不會囊括的技工、工友和司機隨扈等工作性質同仁。

行政院資訊室主任趙培因表示，因為察覺到中國網軍目標式攻擊的對象轉向，行政院在今年初將社交工程演練對象擴及到技師、工友等行政人員。

趙培因表示，「行政院相關部會的內勤同仁，長期以來都是中國網軍目標式攻擊鎖定的對象，」但從去年下半年開始，有某些部會發現到，中國網軍目標式攻擊對象已經發生轉移，從以往針對擁有或執行相關公務機密的人員下手攻擊，轉變成針對協助處理一般庶務和安全事宜的技師、工友和隨扈等對象下手。

她指出，因為察覺到目標式攻擊的對象轉向，行政院在今年初將自行舉辦的社交工程演練，將演練的對象首度擴及到技師、工友、收發室人員、司機和隨扈等行政人員。

但若根據木桶原理，木桶盛水量取決於木桶最短木板的長度。若以此原理來看行政院的資安風險，在整個行政院的內網中，木桶最短的木板長度就是平常擔任庶務工作的行政院職工人員，這些人員都有權使用行政院的內網資源，因為工作性質並不經手各種機密事務，所以並不被相關單位納入資安防護的重點要項。

相關的行政院職工人員也同樣使用行政院內網資源，只要行政院內網其中一臺電腦能夠被感染到木馬程式，便可以透過內網安全性的漏洞，自行擴散或複製到其他的內網電腦去。因此，趙培因說：「網軍攻擊只要能夠攻陷行政院內網最脆弱的環節，便形同木馬屠城、長驅直入。」

因為觀察到這樣資安攻擊趨勢的轉變，加上行政院資訊室預計在今年11月左右，完成全院導入ISO 27001資安認證，趙培因表示，除了要求每一組、每一室、法規會、和訴願會等單位，都必須配員參加ISO 27001主任稽核員的資安課程外，在行政院副秘書長陳慶財的支持下，更將資安教育訓練課程和社交工程演練的對象，擴及到全院每一個人，包括一般的職工人員、技工、工友、警衛、隨扈和司機等。

趙培因說：「高階長官的支持，是資安教育訓練是否能夠成功的關鍵。」落實將資安教育訓練課程推廣到每一個行政院工作的同仁，陳慶財要求行政院每個同仁一定要參加資安教育訓練課程，沒有參加者將予以懲處。

行政院資訊室原本只安排10次的資安教育訓練課程，在舉辦第9次資安教育訓練課程前，陳慶財便要求資訊室提供尚未參加資安教育訓練課程名單，並進一步追究還沒有參加資安教育訓練的原因為何。後來配合同仁公出和出差行程，最終舉辦了13場資安教育訓練課程，趙培因指出，全院只有1人因為長期出差在國外，另一人因留職停薪而沒有參加訓練課程外，其餘人員都全數參加完畢。

良好的資安教育訓練課程，將有助於提升同仁資安意識，在面對中國網軍社交工程攻擊的同時，同仁的受駭率也可望因此降低。

趙培因表示，行政院在去年底舉行的資安教育訓練課程中，便已經納入包括技工、工友、警衛、隨扈和司機等職工人員。因此，在今年上半年，行政院無預警舉辦社交工程演練，她說：「全院惡意郵件開信率從去年9％降為4.6％，惡意郵件點閱率則從去年的6％降為2.3％。」

除了資安教育訓練推廣有成，社交工程演練成績比以往進步外，趙培因說，為了養成同仁對資安意識的警覺性，7月推出了資安賓果遊戲；也將行政院容易忽略的事項和流程拍成宣導短片。文⊙黃彥棻