快訊

批北京挑釁 布林肯:一中政策不變、不支持台獨

你越打我越強 台灣大數據主動防禦網攻

行政院資通安全處長簡宏偉說,只要台灣政府機關、關鍵基礎設施等資安都能做好,他相信80%的攻擊都能擋下。
行政院資通安全處長簡宏偉說,只要台灣政府機關、關鍵基礎設施等資安都能做好,他相信80%的攻擊都能擋下。

【文/賴于榛 (中央社記者)】

解放軍動作頻頻,除了實質的共機擾台,台灣面臨的許多網路攻擊,也多半質疑是中國所為。如何因應,是全台灣都想問的問題。

專訪那天,行政院資通安全處長簡宏偉身著俐落乾淨的短袖藍襯衫,態度親和,但訪問一起頭,他轉換模式,語速調整為1.5倍速,手頭沒有特別拿出資料,回答卻都是不假思索。

面對中國駭客攻擊頻傳,簡宏偉表示,國際法允許資安防禦,不允許資安攻擊,根據國外一些報告,普遍會被點名進行資安攻擊的國家,常聽到就是俄羅斯、中國、北韓、伊朗,以及過往的伊斯蘭國。  

簡宏偉說,台灣每個月遭受多達2,000萬至4,000萬次的境外網攻,因此政府持續常態性演練網路攻防,也聘請約24名電腦專家故意攻擊政府系統,達到演練成效。  

攻防演練全年不間斷 邀學生加入合法攻擊

他說,常態性的網路攻防演練,近年來在時間與對象上都有擴大,像是以往每年最後一季才演練對政府機關的攻擊,但後來發現,有些政府機關取巧,學會應變方式,最後一季透過直接把網路關掉等方法,避免演練失誤,因此為達到實質演練效果,常態性攻防演練拉長為一整年不間斷。

第二個擴大,簡宏偉說,2018年6月《資通安全管理法》上路後,資安演練納管對象除了原先的政府機關,也增加了八大類關鍵基礎設施,以及政府捐助的財團法人等單位,演練範圍擴大,讓政府整體資安因應更完整。

除此之外,簡宏偉表示,過往的演練只找政府單位人才進行,近年來轉變模式,增加一年一次讓在學學生報名,一旦通過相關測試、能力符合,就會請學生加入合法攻擊政府的行列,某種程度也是在培養資安人才。

除了常態性網路攻防演練,簡宏偉說,也會有不定時的社交工程演練,透過發電子郵件、手機簡訊測試公務員甚至機關首長的資安意識,「至今效果都蠻好的」。

沒有被打假的! 遭攻擊也能積成大數據

簡宏偉說,任何組織、單位都可能遭遇資安攻擊,沒有人能做到不被打穿,損失一定會出現,因此台灣正往「主動式防禦」的方向前進,包含:一、將防禦陣線往外推至國境範圍;二、敵對勢力一啟動攻勢,台灣就能攔截,而非等被打到才還手;三、就算遭成功攻擊,也能快速控制損失範圍的能力。

簡宏偉表示,傳統的資安防禦都是反應式防禦,遭受攻擊後通報、應變、復原,但前提就是要被攻擊,因此他才會提主動式防禦,盼防護資源不要被過度耗損。

至於要如何做到主動式防禦,簡宏偉說,台灣每個月面對成千上萬次的攻擊,政府單位不是過濾掉而已,而是蒐集起來分析,累積大數據,現在已經有達成的能力。

政府資安越見完善 駭客轉攻委外供應商

簡宏偉說,相較企業與一般民眾,政府資安做得相對不錯,目前主要被攻擊的都是政府機關資訊系統的委外供應商。 

他表示,有些委外供應商接了30、40個政府單位的案子,容易被駭客鎖定,「打一間委外供應商,等於30、40個政府單位被攻擊,何必一個個攻擊機關」?

簡宏偉說,從去年至今都有類似現象,國外也發現同樣情況,因此為增強委外供應商的資安防護,資安處決定改變做法,由資安處團隊加入政府單位每年對委外供應商的稽核程序,提供稽核準則,最重要的是維持稽核深度的一致性。

這個改變,也減輕業者負擔。簡宏偉說,現行情形,政府單位每年可以對委外供應商做稽核,但若一個委外供應商接了10個政府單位,一年就要被稽核10次,因此資安處讓委託同一委外供應商的所有單位做共同稽查,並從旁協助,提升稽核能量,業者也能避免量能都耗在稽核上。

低級錯誤不要犯 個資外洩人為疏失多

簡宏偉說,境外攻擊不斷,不過只要政府機關、關鍵基礎設施等資安都能做好,像是網站設計不良這種低級錯誤不要再犯,注意人為疏失等,他相信80%的攻擊都能擋下。  

簡宏偉表示,今年9月上旬以前的重大資安事件共11件,其中九件都是人為疏失導致個資外洩,包含使用Google表單卻將權限設定錯誤等等,這類並非資安問題,而是人員的資安意識必須要內化到日常工作,最基本的包含帳號密碼不該一致,或為民服務網站若可上傳資料,也要限制檔案類別等等。  

除了政府相關單位要加強資安意識,簡宏偉也說,有規模的企業,資安防護有一定水準,但中小企業、新創企業等如何加強資安,這部分會再想辦法給出可以參照的指引,目前也已請台灣電腦網路危機處理暨協調中心(TWCERT/CC)設置如何應對勒索軟體防護專區,協助企業應對。  

簡宏偉也說,民眾維護資安的方法,最簡單就是多注意密碼,不要亂開來路不明的電子郵件,勿亂點連結,也盡量別將個資放上網路,因為這通常是有去無回。(完)

【*看單篇不過癮?中央社電子書城《全球中央》電子雜誌、紙本雜誌全面特價中。】

延伸閱讀

資安掛保證 保發中心獲BSI資訊韌性精銳獎

公務員兼職有解?「麟洋配」代言受限 考試院承諾近期提修法

賴清德:台灣遭駭是他國3倍 盼打造堅韌資安之國

強化民眾資安 保全當鋪槍砲業者個資外洩72小時要通報

相關新聞

戴不戴沒那麼簡單 美國口罩背後的文化戰爭

近幾個月,美國各州逐漸取消室內戴口罩的強制規定。但這一路走來,戴不戴口罩在美國一直都沒那麼簡單,不只是防疫問題,更是政治與文化的衝突點。

法國二手市場蒸蒸日上 IKEA也來搶商機

「二手」概念對法國人來說習以為常,無論是像Le Bon Coin這樣的C2C線上平台,或是如Emmaüs這樣遍布全法國的實體二手店面,都已融為生活一部分。

致力百萬難民融入德國 成就梅克爾政治遺產

2015、2016兩年,德國收容了100多萬的難民,根據去年底的報告,2015年抵德的難民,已有近一半找到正式的工作,如果不是疫情,比例將更高。

美國解封迎報復性消費 黑五購物季拉長戰線

人們急欲展開新生活,彌補封城之年沒有聚到的餐、沒有度到的假。商家高度期待2021「黑色黑期五」,消費者會以同樣的「報復」心態,瞎拼出新高業績。

菲大選小馬可仕呼聲高 親中的杜特蒂後繼有人

小馬可仕在外交政策與杜特蒂不會有太大差異,但在跟北京維持良好關係的基調上,如何處理與美國的共同防禦條約和國防合作協議等盟約,各方拭目以待。

俄羅斯掐歐洲能源命脈 德國淪俄烏戰爭輸家

德國政要最近接二連三公開認錯,嚷嚷「被蒲亭騙了」。似乎到了俄軍入侵烏克蘭,德國才突然頓悟對俄政策走到死胡同,政府只好硬著頭皮調整能源政策,全力擺脫對俄國能源的依賴。

商品推薦

udn討論區

0 則留言
規範
  • 張貼文章或下標籤,不得有違法或侵害他人權益之言論,違者應自負法律責任。
  • 對於明知不實或過度情緒謾罵之言論,經網友檢舉或本網站發現,聯合新聞網有權逕予刪除文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。
  • 對於無意義、與本文無關、明知不實、謾罵之標籤,聯合新聞網有權逕予刪除標籤、停權或解除會員資格。不同意上述規範者,請勿下標籤。
  • 凡「暱稱」涉及謾罵、髒話穢言、侵害他人權利,聯合新聞網有權逕予刪除發言文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。