隨著2018年資通安全管理法施行,政府已核定納管機關與資安責任等級,在今年2月,總共納管對象有7,706個,包括A級機關有90個,B級有372個,C級1,052個,其他多為D級機關,達5,380個,E級則有812個,若以特定非公務機關而言,也逐步納管,達427個。

而資安通報制度發展相關現況,也是全民持續關注的焦點。對此,行政院資安處處長簡宏偉在一場活動中,公布近年重大資安事件,並強調落實資安的重要性。

教育體系通報最多,人為操作、設定與網站設計疏失最常見

關於政府機關近年的重大資安事件通報現況,在2020年有9件,2021年至今有11件,它們都是三級事件,最嚴重的四級事件則無。

這些重大資安事件看似越來越多,是否可能令民眾無法信任?簡宏偉強調,從政府與聯防角度來看,隨著資安法的頒布施行,資安事件的通報,其實代表政府機關守法,以往發生資安事件並不會通報,但現在都能做到通報,這是好事。

一旦有單位通報資安事件,就能通知相關領域業者,並協調相關部會去做聯合防禦,降低讓事件再擴大的可能性,因此,通報事件多並非壞事。這幾年以來,他也不斷強調資安事件通報的重要性。

對於近期這些通報事件,是否有需要特別重視之處?簡宏偉指出,從事件根因來看,有15件都與人為疏失有關,突顯當中最大的問題,是在資安管理與落實面;只有2件是駭客入侵,包括機關主機遭植入勒索病毒,以及CI業務系統運作受影響;另外設備問題也包含在內,造成服務中斷,共有3件。

對於人為疏失的狀況該如何理解,他舉例,為了做到實聯制,許多地方機關使用Google表單供民眾登記,卻因為表單權限的設定錯誤,導致民眾個人資料可公開瀏覽。

還有那些人為疏失,造成資料外洩?

舉例來說,地方政府表單試算表的權限設定錯誤,導致他人可公開檢索,也有廠商活動發布抽獎資訊,卻誤放連結,使民眾資料外洩;中央機關則有系統不當變更,導致包含民眾個資的資料外洩,估計有51筆資料遭異常存取。

值得關注的是,教育體系的資安通報數量最多,例如:網站存在設計漏洞,遭外部使用者以不當的方式存取;承辦人未將敏感資料進行遮罩處理,就將包含個資的資料上傳至網站;來自國外異常連線以Wi-Fi 基地臺管理者帳號登入網頁,但該職員休假中,疑似因弱密碼遭識破而導致入侵。

簡宏偉指出,這樣的資料外洩狀況,通常都是因為管理的問題,或是設定的問題,並不是高深的入侵活動。

因此,資安管理與落實是現階段的重點,而這需要大家配合,例如,要求單位加強人員對於資料的保護,調整資安服務採購契約範本,讓機關據以要求廠商負起資安責任,並要求各單位預設禁止遠端存取,同時,要在網站建置時,就導入資安概念。

由此可見,人為疏失的問題其實有多個面向。若從上述事件來分析,可以包含三大方面:首先,是人員操作不當的面向,誤將民眾個資寄出,或是誤放連結;第二,人員設定不當的面向,包括權限設定不當,系統不當變,以及敏感資料未進行遮罩保護;第三,網站設計漏洞的面向:存在程式漏洞等。

此外,還有像是弱密碼的問題,這不僅是人員缺乏意識,在管理面與系統面,其實也都沒有做好防護所造成。

對於近年政府機關的重大資安事件通報,行政院資安處處長簡宏偉表示,多起三級事件都是起於人為疏失,今年並有許多來自教育體系的通報,但他也強調,機關守法通報是好事,才能聯防並降低事件擴大。

弱密碼與遠端存取的盤點,再次顯現資安缺乏落實

除了上述這些資安資安事件通報,簡宏偉也談到近年幾個資安事件經過深入調查之後,發現有許多管理的問題要解決,這也是為何政府推動資安落實,並一再要求各機關人員,以及供應商都要重視。

以今年6、7月發現的事件為例,經調查之後發現,有多個機關郵件帳號遭到利用,寄送社交工程釣魚信,以及惡意程式垃圾郵件,原因是:提供網頁登入的郵件伺服器,並未限制外部存取,而且,有多達34個機關、190組郵件帳密可能被竊取,其中28個機關的143組帳密,竟然是透過郵件主旨回傳給攻擊者。

而分析這些遭竊密碼組成後,又讓弱密碼這樣的常見問題浮上檯面。

在他們進一步統計中,發現光是密碼與帳號相同狀況,就有33組,密碼是123的竟也有24組,密碼是123456的有14組。然而,落實強式密碼早已是老生常談的資安基礎,但顯然,用弱密碼的人仍無足夠意識,而負責管理的人也無警覺,而未採取更強力的管制。

此外,有鑑於近年攻擊者從供應鏈端入侵的態勢,政府機關的確做了許多防護工作,但是,攻擊者從廠商的管道入侵的狀況,實在不能輕忽。

例如,他們之前稽核時曾發現有個單位,在政府機關與廠商之間,具有一條存在多年的VPN連線,但是,隨著人員異動,竟導致長期無人管理,後來資安人員清查時更是發現,該連線帳號密碼是群組同仁共用。因此,機關與廠商在資安管理上都有很大的問題。

資安管理是當今臺灣政府的重大挑戰,因為各機關仍不斷出現未能落實的狀況,例如,在一起機關電子郵件帳號遭利用的事件中,外洩的系統登入資訊大多都是採用弱密碼,而且密碼與帳號相同狀況的比例也很高。當然,個人的基本資安意識培養也很重要。

社交工程郵件攻擊的威脅,同樣值得關注

上述談了許多人為疏失的問題,還有一種介於人為疏失、但又相當難應對的威脅,就是社交工程郵件。

簡宏偉在此演說中,也特別提到2020年520的攻擊概況,而這次事件就是政府體系遭遇多種社交工程郵件攻擊。

特別的是,這次公布了更多細節,例如,這段期間政府體系其實遭遇了3波攻擊。

第一波攻勢在5月18與19日,主要是針對國安體系,這些惡意釣魚郵件的主旨包括:「韓國瑜政治獻金證據」、「企業防疫紓困報名表」等;第二波則在5月19與20日,針對府院體系,郵件主旨是「請盡快填寫會議議程表」;第三波攻勢發生在5月19到23日,以及6月初,鎖定我國衛福體系,郵件主旨是「志工溫馨增集」等。

對於這樣的威脅,除了人員要具備足夠的資安意識,不要一疏忽就中招,簡宏偉表示,政府也希望從源頭開始抵擋防範,否則一旦擴散出去再處理,將耗費太多時間與成本。

對此,簡宏偉說明政府的防護策略,近年來不只從管理面著手,朝向資安落實來推動,在技術面上,也將朝向主動式防禦發展,目標是將防禦陣線往前推。

另外,他也一再強調事件記錄保存與資源投入的重要性,否則僅是擋住攻擊、恢復系統,但若沒有辦法知道攻擊來自哪裡,或是恢復後又再被攻擊,等於事件沒有真正被處理與改善。


熱門新聞

Advertisement