▲KPMG數位科技安全服務負責人謝昀澤。(圖/資料照)
記者賴亭羽/台北報導
日前新加坡才發生含總理李顯龍在內,有1/4新加坡國民的健康醫療個資遭駭客竊取後,越南政府的電腦緊急處理小組(Vietnam Computer Emergency Response Team, VNCERT)近日針對越南國內政府、電力、金融、運輸等重要關鍵基礎設施 (Critical Infrastructure, CI)也發佈了嚴重警告,原因為越南上述產業面臨高度針對性的深度網路攻擊。
KPMG數位科技安全服務負責人謝昀澤表示,「依據我們與新加坡國家網路安全局(CSA)實際的互動交流經驗,新加坡這樣一個有高度資訊風險意識,無論在網路安全的法律、人力、財力投入都堪為模範的國家,也會發生大規模的關鍵基礎設施攻擊,及國民個資大規模外洩的事故,那其他國家更應該擔心。」
除了台灣已經通過「資通安全管理法」以作為政府與關鍵基礎設施產業的資安落實依歸外,KPMG資安實驗室主管林大馗也針對我國重大的油、水、電,與金融、醫療等機關,提出了預警。他認為,依據歷史的教訓,獨立網路不能做為安全保證,沒有做好資安防護,有下列特徵的關鍵基礎設施業者,無論公民營,都有可能成為下一個受駭者:
1. 未落實管理與派送系統(如微軟網域管理系統、防毒中控台等)的網路存取、帳號管理控制與安全檢測。
2. 未落實外點人員作業用電腦安全防護,而因資訊部門遠端作業,造成高權限帳號密碼外洩。
3. 未佈建從點、線、面的防禦縱深。若駭客從外點進入,未將損害範圍限縮於該外點,因少數外點遭駭,進而影響到關鍵系統。
4. 未盤查「作業必要出入口」,或企業為了維修方便而建立不為人知的「維護管道」。
5. 未透過已發生的資安事故,模擬驗測關鍵系統現有安控程度。
謝昀澤也提醒,對台灣的政府機關與關鍵基礎設施產業而言,核心營運的系統,如公文系統之於政府、醫療系統之於醫院、ATM系統之於銀行等,固然是資安防守的重中之重,但也不要忽略了如LINE、Facebook等社群媒體在管理流程中,所隱含的國家機密與機敏個資傳遞者的重要性。
謝昀澤強調,這些常用的工具,在關鍵基礎設施的實際運作中,現在已經不是只扮演「社群工具」的角色了:日常指揮通聯、傳遞重要資訊可能都要仰賴它們,應該已經具備「關鍵通訊設施」的地位,但這些系統多數是外商,系統安全、資料傳輸管道,是政府或企業很難直接掌握。他提醒,所有對於關鍵基礎設施營運有重大衝擊的系統、工具或流程,都應該有應變計畫與演練過程,萬一風險發生時,才能將損害降到最低。
讀者迴響