▎ 從行政院國發基金創業投資電腦系統遭駭事件,看台灣資安現況 🧐
「資安即國安,切莫淪為口號!」
有鑑於近年來國內外資安事件頻傳,虹安於國會問政也經常關心我國資安政策與規劃。甫於上個月,行政院國家發展基金的創業投資電腦系統遭疑似來自中國大陸的駭客惡意入侵,顯現出政府機關的資安意識與作為仍然相當薄弱,所謂的「資安國家隊」似乎僅淪於口號而並非具有實質作用?
💡前情提要💡
6月底,行政院國家發展基金的創業投資電腦系統突然無法開機,近日終於釐清原因,該單位的電腦遭疑似來自中國大陸駭客惡意入侵,導致系統主機遭植入病毒程式,該單位主要負責國內產業新創與公司轉型業務,此事件已通報為三級資安事件,影響層面涉及投資企業與融資業務、個人資料恐已外洩...等,屬於極度嚴重的資安事件。
虹安曾多次公開呼籲,政府或企業要提高資安意識,且應定期執行模擬演練攻擊;政府也應該儘速盤點相關政策,加速產官學研資安防護能力。比如說定期執行紅隊演練攻擊(模擬駭客入侵,對各企業端點進行攻擊)的服務,藉此找出資安防護的弱點加以改進。全世界皆面臨著資訊戰以及日益猖獗的惡意竊盜資料的網路攻擊,近年更有許多企業遭到駭客組織的「勒索軟體即服務」(RaaS)新興手法攻擊,公私部門之資安意識、能力和人才提升,勢必得馬上佈建、徹底執行。
🎯🎯🎯國發基金的創業投資電腦系統遭駭,問題可能出在哪?
① 重要主機資訊系統並沒有資安團隊或資安人員進行主動積極防禦,突顯資安人才短缺問題造成的影響仍持續擴大。
② 資訊系統委外開發及維運,顯然並沒有進階資安防護的要求,造成甲乙雙方置系統安全不顧。建議應檢視所有目前政府重要系統委外營運之合約,無論新舊,對於資安的要求是否符合規範。
③ 國發基金系統既然委外由兆豐銀行開發及維運,此事件是否表示兆豐銀行在資訊安全管理上有所疏漏,不知是否有檢視兆豐銀行整體資安防護措施?雖然在金管會要求下銀行都有專屬的資安團隊及應該做好的防護,不過今天的事件,是否代表著兆豐在資安維運上存在某種瑕疵?又,這類的事件是否會在銀行系統中發生?
如果今天遭竊的不是所謂四五年前的舊資料,而是所有納稅人的血汗錢以及國庫資金?後果不堪設想。
所以,當我們發現國發基金委託外部建置的系統至今毫無有效的資安防護措施、一遭攻擊就破功,著實令人震驚!此舉形同開大門邀請別人來攻擊,#門打開嘸人顧厝,這樣的疏漏相當嚴重也不可容忍。試問數以百計政府機關單位中,是否可能還有類似情況?人民、企業、甚至是國家該如何有保障?
剛出爐的《109年國家資通安全情勢報告》才寫道:109政府單位資安稽核重點是以「行政院所屬部會行總處署」為主,隸屬於行政院的國發基金系統竟然仍存在著資安薄弱的問題!
🔊 虹安再度呼籲,行政院應該要針對所有政府機關與國營事業做 #資安總體檢,找出系統弱點漏洞,否則以台灣政府單位每年遭受2-4000萬次網路攻擊的頻率(2018年公開資料),政府重要機密與民眾個人資料如何能有效保障安全,實在令人高度憂心!
資安稽核 在 如何規劃機關資安稽核 的相關結果
(一)ISO 27001 的國際資訊安全標準. 此為現行國際資訊安全標準,亦為資訊安全管理系統(ISMS)的驗證標準,於第三方稽核時使用此稽核依據。 表1 ISO27001 稽核條文. Page ... ... <看更多>