「資安聯防」新觀念:別再自己單打獨鬥,民間與政府通力合作才是正解

關鍵基礎設施資安聯防之趨勢

【我們為什麼挑選這篇文章】資安意識逐漸抬頭,外加台灣近年陸續受到駭客集團的攻擊,除了五月期間的 WannaCry 勒索病毒的大舉肆虐外,金融機構也曾受到攻擊,一度損失近 7000 萬台幣 ,在在顯示了資安防禦的重要性。

除此之外,有鑑於資安攻擊的規模逐漸擴大,與社會資訊化程度的提高,從事前的防禦到事後的妥善處置,都已不是各單位可以憑一己之力就能妥善處理的程度。

本文針對這個現象,以美、日、德等國為例,提出了相關對應的法律與資訊機制,該如何建立起「資安聯合防禦」的機制,才能在駭客肆虐的現代社會下,保障自身與社會的安全。(責任編輯:林厚勳)

文 / 資策會科技法律研究所組長 蘇柏毓

近來國內數起重大金融資安事件,再次突顯現今對關鍵基礎設施資安防禦之重要性,而以目前資訊系統連網之特性,與受到即時多樣性之資安攻擊之態樣,透過資安聯防之方式強化整體關鍵基礎設施之資安防護,已成為現今部署資安之重點。

行政院長賴清德即曾表示,因應複雜多變的資安威脅,政府機關的資安防護仍應持續強化,除了在認知教育及防禦技術上,加強資安通報、演練、稽核、分享等,也要妥為運用資安旗艦計畫及前瞻基礎建設計畫相關經費,建構中央機關與地方政府的多重資安聯防體系,落實各項資安防護作為。

金管會主委顧立雄亦指出,金管會內部研擬攜手國內金融機構,建立國銀資安聯防體系,串聯金融業者資安情資分享,建立即時預警通報系統,以提升國銀資安層級。

針對資安聯防,目前多數國家對於關鍵基礎設施資安事件演練,均採跨領域的聯合演練,或由公、私協力夥伴進行各種類型的共同演練,以達到資安聯防的目的,此外尚包括下列重點措施,強化防禦能力:

合理之資訊分享與公開

例如 2016 年第 41 號美國資安事件協調總統政策指令要求,在法律允許之範圍內,針對相關資安事件之資訊分享時,聯邦政府之事件應變人員應保護相關細節、隱私、公民自由與私部門敏感資訊,並個別委託受資安事件影響之單位通知其他受影響之私部門及民眾。

另外,2015 年與加拿大政府間確定與標示關鍵基礎設施管理資訊的機密性分享,該指南適用對象為自願與加拿大政府分享關鍵基礎設施,或緊急管理資訊之私部門。其規定私部門將關鍵基礎設施與緊急管理之資訊,以機密性方式提供給加拿大政府,而在提供給加拿大政府前,私部門也應確定該資訊依法可分享,並利用安全且可追蹤之方式,將資訊分享給合作夥伴。

資安事件處理應變機制

對於重大資安事件應變之部分,第 41 號美國資安事件協調總統政策指令要求,當關鍵基礎設施發生重大資安事件時,聯邦政府應成立網路統合協調小組(Cyber Unified Coordination Group),進行私部門與各聯邦政府機構之整合,以應變重大資安事件,並啟用回復與復原機制,儘快在兼顧調查需求、國家安全需求、公眾健康與安全需求之情況下,促進發生資安事件之實體,回復正常運作。

建立情資分享框架

美國國土安全部 2016 年 10 月提出之關鍵基礎設施威脅資訊分享框架指南係協助關鍵基礎設施之所有者與營運者、其他私部門、聯邦政府、州政府與地方政府等合作夥伴,以分享攻擊之威脅情資,並接收與報告威脅情資。

該情資分享框架係建立於美國政府既有之國家安全戰略與計畫確定之原則上,以一種靈活、具適應性和網路化之方法以共享威脅資訊。而這些威脅資訊主要依靠指定之資訊共享中心(Information-Sharing Hubs, Hubs)傳遞。此等資訊共享中心(Hubs)於關鍵基礎設施安全和復原任務中有其作用與責任,並利用標準作業程序(Standard Operating Procedures,SOP),確保與關鍵基礎設施合作夥伴進行雙向傳遞資訊之流程。

而日本為了持續維持其國內關鍵基礎設施服務的安全性,日本內閣網路中心於 2017 年 4 月 19 日公布關鍵基礎設施資訊安全對策第 4 次行動計畫。強化資訊共享之框架,考量關鍵基礎設施周圍社會環境、技術環境與資訊安全動向之高度變化性,由個別關鍵基礎設施營運者單獨進行防護,有其界限,因此為持續確保關鍵基礎設施營運者之高安全水準,公私、協力與跨領域之情資共享框架有其必要性。

此外,由於網路攻擊者之資訊廣泛且彼此共有,比起採行快速防護措施,應致力於使攻擊被害減到最低,並抑制新興網路攻擊方屬較佳做法。因此,根據各關鍵基礎設施營運者之資訊安全責任,並使利害關係主體間彼此自主協力,應優先推行公、私協力與跨領域之情資共享框架。

通報義務

在通報義務方面,德國 2015 年的聯邦資訊科技安全局法規定,關鍵基礎設施營運者應於該法施行後 6 個月內,在其公司內設置對聯邦資訊安全局之聯絡窗口,負責與聯邦辦公室間之資訊分享與報告網路安全事件。

該法並要求通訊服務提供者通報其可能之網路安全風險,且在重大資安事件發生時必須通報聯邦資訊安全局。通報內容包括:受侵害之狀況、侵害發生之原因、受影響之資訊科技系統、營運者所屬之業別,而若關鍵基礎設施之功能尚未因遭受侵害而失效或減損時,營運者可採匿名方式通報。

另外,相同領域之關鍵基礎設施營運者得共同指定一聯合聯絡中心,協助各營運者之聯絡窗口與聯邦資訊安全局間進行資訊分享。聯邦資訊安全局與關鍵基礎設施營運者外之第三方,有權利向聯邦資訊安全局索取營運者所採取之安全措施與發生安全事件之相關資訊,除非聯邦資訊安全局認為營運者提供該資訊時,會造成公共利益之重大影響,方可以拒絕提供。

─ ─

(本文經合作夥伴 資策會科法所 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈 關鍵基礎設施資安聯防之趨勢 〉,首圖來源:Christiaan Colen,CC Licensed。)

為何我們說資安很重要

【投稿】別低估第一銀行的愚蠢,盜領事件後不加強資安反而說不做 Fintech 創新
從法律看科技:「個資」外洩與「資安」竟然沒關係?
【投稿】連我阿嬤都會按更新!台灣公股銀行系統卻 30 年從未更新
【金正恩都這樣賺錢的】北韓駭客從美國盜領 24 億元台幣,要不是拼錯一個字原本可能拿更多!

全球勒索病毒只是開胃菜?駭客組織 Shadow Brokers 下個目標是中國、朝鮮的核彈數據!
北市府資安又出包!替代役製作的網頁被攻破,世大運 1.8 萬志工個資恐外洩
重大資安漏洞!英國媒體報導:全球所有 Wifi 都可能被駭了
【資安危機】全球 600 萬筆個資洩漏光光!電信巨頭 Verizon 這回玩笑開大了


微軟精華 AI 實踐課程來啦!

超過 100 堂專業課程、350 位原廠專家技術交流

2/17、18 與微軟技術夥伴面對面,破解最新、最前沿的 AI 轉型解決方案

免費報名

點關鍵字看更多相關文章: