2018政府機關資安通報現況大公開,6起3級事件最嚴重 - iThome
文章推薦指數: 80 %
關於政府資安事件遭遇的事件類型上,以去年而言,主要是非法入侵、網頁攻擊為主,而在重大資安事件方面,簡宏偉進一步說明。
在這6個3級事件中,主要可畫分 ...
移至主內容
文/羅正漢
|
2019-10-23發表
圖片來源: 攝影羅正漢
對於國內資安通報制度的建立與發展,在近期臺灣通報資安應變年會上,行政院資通安全處處長簡宏偉強調,「如果沒有通報,什麼事都不知道,在通報後,知道了就容易處理,也就能損害控制。
」同時,他也特別公布政府機關通報現況,並說明相關機制該如何有效運作。
政府機關資安通報3大嚴重事件類型,以資料外洩最多
關於國內的資安通報現況,首先,簡宏偉公布去年度政府機關資安事件通報的統計,在2018年度,共有262件資安事件通報,其中146件是政府機關主動偵測發現通報,另有116件,是政府機關接獲資安警訊通告所進行的通報案件。
若以嚴重等級而言,最嚴重的4級事件為零,3級事件有6件,其餘2級事件43件、1級事件213件。
對於資安事件分級,由於資通安全管理法今年初已施行,因此,簡宏偉先說明了相關變化。
他表示,過去對於政府機關的資安防護,都是從行政命令的角度,而在去年通過資安管理法後,所有資安相關防護措施、通報機制、責任等級、情資分享,甚至連公務人員獎懲,全部有法律的依據。
而且,關鍵基礎設施的納入也很重要,因為,其中也包含了屬於民間的企業,所以,相關的法規,就必須要有清楚的限制與定義,透過這樣的方式,才能讓各機關的資安防護,能夠更上軌道。
行政院資通安全處近日公布2018年政府機關資安事件通報現況,資安處處長簡宏偉表示,去年共有262件資安事件通報,其中最嚴重的事件有6起,均屬於3級事件,主要是民眾個資外洩、資訊設備遭植入勒索病毒與系統中斷等。
(攝影/羅正漢)
關於政府資安事件遭遇的事件類型上,以去年而言,主要是非法入侵、網頁攻擊為主,而在重大資安事件方面,簡宏偉進一步說明。
在這6個3級事件中,主要可畫分為三大類型,包括機敏資料外洩(個資外洩)、核心業務系統或資料遭嚴重竄改(資訊設備遭植入勒索病毒),以及核心業務運作遭影響或系統停頓,無法於可容忍中斷時間內回復正常運作。
其中以資料外洩類型為主,比例佔50%。
若將時間拉長來看,在2015到2018年間,政府機關資安事件的主要發生原因,根據資安處觀察,由外部主動惡意入侵的比例其實算少,最常發生的問題是網站設計不當、應用程式漏洞、弱密碼等。
簡宏偉指出,這與政府機關委外問題有關,因為很多驗收只看功能面,他們未來將積極處理。
另外,若以去年主要的政府資安事件來看,他們也觀察到一些攻擊手法變化,例如,從利用網頁漏洞入侵政府機關,到以多種網站的框架或伺服器弱點攻擊,與寄送大規模社交工程惡意電子郵件,近期駭客更是改為在政府機關安裝VPN套件後,竊取資料回傳。
關於近年來政府機關資安事件主要發生原因,行政院資通安全處處長簡宏偉指出,最常見的問題是網站設計不當、應用程式漏洞、弱密碼等,其實外部主動惡意入侵的比例很少,未來將針對委外安全驗收問題進行改善。
(攝影/羅正漢)
在資通安全管理法中,強調對於通報應變已有明確定義
關於資安通報機制的重要性,在2016年發布國家資通安全發展方案,就能看出端倪。
在這項方案當中,政府制定了2017年到2020年的國家資安發展戰略,該方案包括四大關鍵,首先是完備整個資安基礎環境,其次是建構整個國家聯防體系,以及推升資安產業自主能量與孕育優質資安人才。
簡宏偉解釋,隨著基礎架構的完成,就能建構整個國家聯防體系,包括關鍵基礎設施之間,以及縣市政府之間的聯合防護。
基本上,資安處期望透過這種方式,讓整個臺灣各公務機關形成綿密的網路,一旦資安事件發生,就容易掌握。
關於情資分享方面,簡宏偉也指出,自2016年資安處成立以來,開始推動整體關鍵基礎設施聯防,現已從以往的兩層制變三層制。
簡單而言,從最底層的關鍵基礎設施提供者,通報到上層領域的情資中心,並且分享,而情資中心也將經過去識別化等方式,再分享到國家的情資分享中心。
對於這項改變,主要是資安處考量到各領域之間,有一些資訊並不適合分享,因此,針對不同領域,將有對應的處置方式。
簡宏偉並指出,這些資料將是經過彙整、去識別化的形式,並在通訊傳播委員會與經濟部協助下,逐步建立。
事實上,近年資通安全管理法的通過與實施,已經代表政府意識到通報的重要性。
簡宏偉更是強調,在整個資安管理法的架構中,通報是很重要的一件事。
在通報的同時,也要情資分享,還要有可以稽核與管理的方案來掌握全局。
不僅如此,之後每年也要將這些資訊送進立法院,如此一來,若是突然發生資安事件,就能知道各個政府機關是由誰稽核,或是輔導,以及系統是由誰開發。
更重要的是,資訊送到立法院後,都將是公開的內容。
對於資安事件通報應變與情資分享,在資安管理子法架構中是相當重要的一部分,當中並有具體的定義與規範,包括訂定事件通報應變機制,以及通報、損害控制及復原、情資分享,還有調查處理及改善。
(攝影/羅正漢)
至於法規的施行與落實,簡宏偉強調,通報不僅是義務,更是法律上明定要做的工作,例如,在資安法第14條,就針對通報有明確的定義。
而且,在各機關角色與權責,也都有清楚說明,以公務機關而言,必須對上級機關提報資安維護計畫實施情形,或是通報資安事件與提出改善計畫,相對地,上級機關會對公務機關進行資安稽核,同時,主管機關──行政院也將監督上級機關。
而針對民間機關等特定非公務機關,則由中央目的事業主關機關來處理,通報管理流程大致相同,較特別的是,行政院也可以同時直接對特定非公務機關,進行資安稽核。
在具體作法上,簡宏偉指出,現在都詳細定義通報的作法與內容。
例如,在事件通報及應變辦法上,為強化各機關的因應,規範事件的分級,以及事前演練、事中通報及應變,並有事後改善的程序與機制;而在資通安全情資分享辦法上,提升各機關的資安預警能力,強化資安相關資訊的交流。
綜合而言,透過資安管理子法架構,從訂定事件通報應變機制、通報、損害控制及復原與情資分享,到調查處理及改善報告,將透過一連串的機制與流程,以強化重要機關的通報與應變能力。
另外值得注意的是,在通報流程上,依照現行法規要求需在一個小時內通報。
簡宏偉指出,通報速度越快越好,初步的資訊可以不用太詳細,主要是能有助於資安處判斷,像是同一時間若收到多個通報,這也顯示事件範圍擴大。
而在通報完成後,將進行事件等級審核的程序以及事件處理流程,基本上,較輕微的1、2級事件要在72小時內處理完成,3、4級事件則是36小時。
他強調,越嚴重的事件,處理速度必須要更快,並在一個月內提出改善報告給上級機關與資安處。
而在資安事件分級的依據上,主要依照是否為核心業務,以及是否屬於CI關鍵基礎設施來畫分。
而且,若事件發生在關鍵基礎設施,資安事件等級將比非關鍵基礎設施高;如果同一資安事件,影響兩個以上機關或領域,資安事件等級也將往上提升一級。
至於情資分享辦法中,現行法規也對情資已有清楚定義,包含像是情資分享的對象,以及分享方式,也將限制部分資訊為不能分享。
iThomeSecurity
熱門新聞
研究人員發現WebEx在用戶關靜音仍在蒐集麥克風資料
2022-04-19
【從自動化到發展智能化的智慧製造】友達數位製造轉型下一步,對接雙軸策略推動資料治理
2022-04-18
友達智慧製造內場域應用首度大公開
2022-04-18
7-ZipWindowsApp漏洞讓攻擊者取得管理員權限
2022-04-20
Atlassian說明斷線原因出在更新服務搞烏龍
2022-04-18
友達數位轉型發展史
2022-04-18
【資安週報】2022年4月11日至15日
2022-04-16
微軟CVE-2022-26809漏洞出現攻擊程式只是早晚的問題?專家警告快修補
2022-04-15
Advertisement
iThomeSecurity
專題報導
友達數位製造轉型大解密
醫療HIS微服務化大改造
美國升起資安防護罩
儲存防寫應用重新崛起
烏克蘭戰爭的科技衝擊
更多專題報導
延伸文章資訊
- 1法務部及所屬機關資通安全事件緊急應變計畫 - 植根法律網
五、資通安全事件定義及分類(一)內部危安事件:發現或疑似遭人為惡意破壞毀損、作業不慎等危安事件。 (二)外力入侵事件: 1.病毒感染事件。 2.駭客攻擊或非法入侵事件 ...
- 2國家通訊傳播委員會資通訊環境安全應變作業要點
2.影響等級為1、2或3級者,屬一般資安事件;影響等級為4級者,列為重大資安事件。 (二)電信事業網際網路用戶資安事件.
- 3檢視現行法規國家資通安全通報應變作業綱要 - 法源法律網
(二)各級政府機關(構)發現資安事件後除應循內部程序上報外,並須於1 小時內,至通報應變網站通報登錄資安事件細節、影響等級及支援申請等資訊,並評估該事件是否影響 ...
- 42018政府機關資安通報現況大公開,6起3級事件最嚴重 - iThome
關於政府資安事件遭遇的事件類型上,以去年而言,主要是非法入侵、網頁攻擊為主,而在重大資安事件方面,簡宏偉進一步說明。在這6個3級事件中,主要可畫分 ...
- 5資通安全事件通報及應變辦法 - 全國法規資料庫
主管機關應於其自身完成資通安全事件之通報後,依下列規定時間完成該資通安全事件等級之審核,並得依審核結果變更其等級:. 一、通報為第一級或第二級資通安全事件者,於接 ...