企業無可避免的資安管理責任,談資通安全管理法
在面臨瞬息萬變的資安危脅下,每天都有無數的資安事件在發生,企業內部的資安防護是否完善,以及資安管理政策是否健全,已經是當今企業關注的重要議題,甫於十月初結束的台灣資安通報應變年會,藉由國內外知名資安專家學者的對話,讓與會者了解如何解決企業內部目前所面臨的資安問題。
今年五月資通安全管理法已於立法院三讀通過,從政府到企業單位所面臨組織單位的資料保護需求越來越重視,為了將防護措施布局妥當,避免因非法使用與破壞行為等因素造成的資安漏洞,企業必須有相對應的資安防護措施,才能將影響降至最低。
此法立法目的,是保障國家的安全與維護公眾的利益,對象有二,一是中央與地方的公務機關;二是特定的非公務機關,就是關鍵基礎設施的提供者、公營事業,與政府捐助的財團法人。立法的歷程,在今年五月已通過了立法院,七月也定了六個子法並完成預告,預定在2019年1月1日正式施行。
數位時代的資安風險有何不同?
藉由以下三層面說明。
- 萬物聯網的時代
由過去的PC到手機,現在的穿戴裝置,各種聯網的AI智慧語音音箱,IPCAM,智慧家庭等多樣設備,一旦連到網路上就成了駭客攻擊的目標,或被利用成為攻擊別人的殭屍設備,若沒有做好資安的保護,它們都是風險。 - 資料數位化、服務線上化的趨勢不斷前進
不論是公部門、私部門,走向數位化的腳步一直沒有停過。很多的資料,逐漸由過去的紙本移轉到雲端,特別是個資,在黑市上非常有販賣價值。 - 新興攻擊手法的快速更迭,無法及時掌握
數位科技的變化快速,科技怎麼用,端視是誰來用、怎麼用,例如,廠商可以應用AI發展各式出防禦工具,而AI也可能成為有心人士的犯罪攻擊工具,那就成為災害。
AI人工智慧,目前是新興科技很大的一個議題。舉例,暗網,一個不勘入目、另外一個世界,犯罪叢生的溫床,各種資安的攻擊工具、還有個資,都是在暗網裡面大量販賣。
在上述的諸多情形下,我們面對數位科技的發展,主管機關必須加緊將資安的法制面建立起來。其他國家早我們很多年就已經將資通安全管理的法規機制建立起相關的法規規範,在即將邁入智慧國家的前提下,資安基礎、紮根就一定要做好,否則智慧國家就很可能面臨極大的挑戰。
例如幾個月前,新加坡因為醫療個資大批外洩,甚至包含李總理的個資,因此他們就暫時中止智慧國家的計畫,停下來全面檢視他們的資安哪裡沒做好,再決定往前走下去。因此這對於各國要邁入數位國家的進程上,資安是非常重要的議題。
資安威脅對國家、企業、個人的影響層面
資安的風險,在每個國家,企業,個人中都有,只是角度不一樣。
- 個人資安沒做好,個人隱私會因外洩受侵害。
- 企業資安沒做好,可能會有財物損失,前陣子某知名半導體公司發生的資安事件,媒體也報導了他們產生的損失。財物損失,商譽損失,競爭力的喪失,法律的責任,都是企業要面對的。
- 國家角度要面對的資安風險,有恐怖份子,網路間諜,國家級的駭客,他們每天針對國家的關鍵基礎設施這些首要目標來攻擊,因為這些對民眾造成的影響是最深的。
關鍵基礎設施被攻擊的案例近幾年來非常的多,幾年前烏克蘭的電廠,就曾因被駭客攻擊造成全國部分的供電中斷,前幾個月也發生某國家的港口PORT的控制系統遭入侵;也有機場電子顯示看板遭駭客入侵後被關機,無法正常顯示。這些案例一旦遭受攻擊,對民眾的生活、財物損失都會有一定影響。
因此國家資安的人力與能力必須不斷的提升,才能因應未來的攻擊手法,在守護端、防護端自然必須不斷的精進與強化。
透過以上的原因,也說明了資通安全法的立法需要。
資安事件通報應變
一般民眾及企業在發生重大資安事件時,未來依法須進行資安通報,可透過台灣電腦危機處理暨協調中心(TWCERT/CC)的電話、EMAIL、官網等通報管道外通報,提供事件相關人聯絡資訊、受害主機資訊及事件發生描述,即可進行通報,並可提供更詳細的系統LOG資訊,對事件處理更有幫助。
個人與企業的資安提醒:三不政策與四項口訣
三不政策
- 點擊可疑網頁/郵件連結
- 任意開啟郵件附檔
- 安裝來源不明軟體
四項口訣
- 系統弱點要修補
- 掃毒作業要執行
- 資安訓練要確實
- 資安新聞要關注
工欲善其事,必先利其器
企業在面對上述的數位時代新興攻擊手法,資訊人員應採取整合型的主動防護方式,搭配資安領域的專業系統,才能依法善盡管理的責任,未來面對資安事件的企業應為舉證也能立於不敗之地。舉例,在端點防護、資料防洩密、資訊安全、電腦資產管理、檔案加密等方面來保護企業,防堵企業資安外洩漏洞,俾能全面提升企業風險管理。