8面向聯防 入《資安管理法》

工商時報【王姿琳╱台北報導】

全球資安風險大增,行政院資通安全處正研擬《資通安全管理法》草案,參考美、日等國規範,推動包含政府機關、能源、水資源、交通、高科技園區、金融、傳播通訊和醫療等8大面向的資安聯防系統,而今年以來金融業遭駭的問題多,目前已在建立F-ISEC制度。

勤業眾信會計師事務所昨(11)日舉辦「電子商務資安聯防研討會」,邀請經濟部商業司、行政院資通安全處和警政署刑事警察局專家剖析全球資安風險。

資通安全處高級分析師吳啟文表示,隨駭客攻擊手法演進,包含政府單位與上游的軟體或服務供應商都成為攻擊的對象,駭客更常利用免費雲端空間或VPN伺服器進行資料竊取,讓人難以察覺。

經濟部商業司副司長陳秘順指出,台灣在國際間資安評估中表現不佳,是駭客攻擊的熱區,尤其殭屍電腦與濫發電子郵件,是資安風險中占比較高的議題。至於電商應如何避免個資外洩,陳秘順建議,處理訂單的電腦不要輕易連結通訊軟體,避免門戶洞開。

吳啟文引用世界經濟論壇發布的「2016全球風險調查報告」指出,資料詐欺或竊盜的風險發生率排名全球第8,且關鍵基礎設施遭破壞風險也逐年攀升,「兩國對立時癱瘓對方電廠、水庫、電信,根本不用打仗!」

吳啟文分析,過去駭客以攻擊政府單位為主,近期則轉為攻擊政府單位採用的軟體或服務供應商;或採用水坑式攻擊,也就是分析對方經常瀏覽的網站,針對該網站的弱點放入惡意程式,間接攻擊終極目標,如美國勞工部與能源部為發展核武經常瀏覽SEM網站,就曾被駭客入侵,進而攻擊勞工部與能源部人員。

亦有駭客搜集特定格式的機敏文件,上傳至免費的雲端儲存空間,吳啟文說,此種利用合法雲端空間竊取資料方式,傳統防火牆與入侵偵測系統難以分辨,從網路流量上無法分辨進而攔截阻擋,是目前的困難之一。