2019 年資安大會上,總統蔡英文特別專場演講,再度強調「資安即國安」的重要概念,提到國家級的資安機制是接下來的台灣數位發展重要目標。落到企業層級,資安也同樣會是接下來數位轉型的重大挑戰。
趨勢科技今(18)日舉辦記者會,從國家、企業層級探討新世代的資安基礎設施重點是什麼,以及將資安納入基礎建設對於國家治理與營運的關鍵為何。
國家層級資安議題:基礎建設的破壞,將導致內部動亂與外部威脅
基礎建設是維繫民生與國家機器運轉的關鍵基礎設施,根據行政院的定義,關鍵基礎建設包含能源、水資源、通訊、交通、銀行與金融、緊急救援與醫院,以及中央政府機關等相關機構。不同於一般的家用電腦與商用設備,基礎建設是國家層級的設施,一旦遭受攻擊,將癱瘓民生與國家機能,造成經濟損失、內部動亂與外來威脅防禦等國安問題。
然而近年,基礎建設成為駭客熱門的攻擊目標,例如烏克蘭電廠被駭導致大停電、美國核電相關公司遭受駭客攻擊等等。除了破壞,基礎建設也可能被挾持,成為「人質」,用來達成某些政治目的。總統蔡英文提醒,台灣正遭受境外網軍的威脅,因此基礎建設的資安維護是刻不容緩的工作。
針對基礎建設可能面臨的風險,以及如何恰當地進行風險評估等範疇,趨勢科技進行了深入的前瞻性研究。趨勢科技全球核心技術部資深協理張裕敏表示:「根本的防治之道在於確保所有環節都有落實的資安管控機制。對關鍵基礎設施營運有重大衝擊的系統、工具或流程,也要有應變計畫與演練,當風險發生時才能將損害降到最低。同時,具備洞察威脅情勢的能力與敏感度,在不應該出現任何警示的地方,就算只出現一次的警示,都必須進行追查,才能避免成為資安事件的引爆點,唯有『在不疑處有疑』,才能掌握制敵先機!」
企業層級資安議題:攻擊目標轉往 ERP 與關鍵伺服器等企業中樞系統
除了國家級的基礎建設,企業的網路、金流、資訊媒體等基礎設施也面臨資安的威脅。隨著物聯網與智慧工廠的發展,未來工業製造將更加自動化,聯網設備大增;在工業場景下,機械手臂、天車,到營造現場的移動式升降機,無不倚靠「無線電遙控器」讓操作更加簡單便利,但對科技的倚賴也提升駭客攻擊的傷害。這些設備的資安值得企業重視。
趨勢科技指出,勒索軟體在 2017 年活躍而受到很大關注,雖然 2018 年後的相關新聞減少,但威脅更加升級。 2017 年勒索軟體針對的是員工電腦等末端設備,但 2018 年後目標轉往 ERP 與關鍵伺服器等中央設施,而且攻擊更有針對性,對企業造成的損失也更大。
另外一個威脅是變臉詐騙,尤其是針對中小企業的跨國貿易項目。駭客利用溝通時差,變造國外 email 進行匯款帳戶的變更,這樣的直接金額影響是更大的。然而許多企業卻還沒視資安為一個重要的營運維持項目。
趨勢科技:聯合資安公司與財團法人,對中小企業整合輔導
針對這些威脅,趨勢科技資深威脅研究員 Philippe Lin 指出:「工業無線電安全時常遭到忽視,即使設備發現資安漏洞也很難立即更新。一旦駭客控制了無線電遙控器,也將有可能一併控制工廠的生產線,製造出不符合標準規格的產品,甚至直接造成財產和生命損失,讓安全變的彈指可破,設備製造商及廠商要多加防範留意,於早期規劃時把資安措施納入其中。」
此外,中小企業在進行資安威脅的數位轉型時,往往面臨沒資金沒人才的挑戰,而趨勢科技聯合資安公司、財團法人,對中小企業整合輔導。同一時間,政府的資安與國安政策,也成為企業數位轉型的助力。
今年的台灣資安大會將在明(19)日正式展開,將會有醫療、金融、AI、IoT 等資安議題與論壇,交流最新科技趨勢、資安威脅與因應方式。趨勢科技也會有實機展示,藉由 VR 體驗展示全新的 MDR 防禦。
但更重要的是,駭客攻擊能力無時無刻隨著科技進化,除了一年一度的資安大會,企業主與國家領導人都需要將資安意識融入日常中,以確保企業營運與國家的安全。
參考資料來源:
1. 《趨勢科技》:〈全球關鍵基礎設施成資安攻防重點,工業資安潛在風險亦不容小覷〉
2. 《iThome》:〈蔡英文:資安就是國安〉
3. 《iThome》:〈台灣資安大會〉
(本文提供合作夥伴轉載。首圖來源:趨勢科技提供)
更多資安相關資訊
【中資企業的潛規則】PTT 之父:重視資安的中國公司,是活不下去的
