:::

社論

【社論】資安即國安 強化鏈結防患未然

 根據網路安全公司卡巴斯基(Kaspersky)最新資料顯示,北韓駭客組織近日曾攻擊包括我國在內18個國家的銀行,並利用網路竊得的資金,助其發展核武能力或購買奢侈品,以籠絡國內政府高官為之效命。雖然此類大多數攻擊並未成功,但少數已確認的案例,造成的損失卻高得嚇人,光是去年孟加拉中央銀行失竊金額就達8100萬美元。

 從美國有線電視新聞網(CNN)網站的報導可知,過去北韓資訊駭客,主要以摧毀系統和引發民眾恐慌為目的,但如今北韓因屢次試射飛彈遭聯合國制裁,幾乎與全球經濟隔絕,難以賺取外匯,因此遂改用此類駭客技術另闢財源,主攻銀行和私人企業以竊取巨額金錢,此一行徑令各國頗為頭痛。

 近20年來由於科技快速發展,企業使用網路行銷、直接交易或其它商業活動愈來愈普及。然而,網路所帶來的商機和便利性,亦容易成為有心分子的潛在的犯罪媒介。美國智庫「戰略與國際研究中心」(CSIS)年前曾發表報告指出,全球由網路犯罪造成的經濟損失,初步估計每年最高可達5750億美元,其中包括犯罪所得,以及企業為了修復或防禦網路攻擊所付出的成本;在個人方面,因個資遭到竊取,在2013年即有超過8億民眾受害,每年造成超過1600億美元的損失。在企業方面,光是美國在同一年間,就有3000家公司被駭,造成等同於20萬個就業機會流失的傷害,其影響絕不容忽視。

 為因應層出不窮,手法日新月異的網路攻擊,世界各國已開始藉立法方式,整合政府與民間企業力量,防範並打擊駭客事件。以美國為例,早在2003年小布希總統執政期間,即策頒「確保網路空間國家戰略」(The National Strategy to Secure Cyberspace),此為首次將「網路空間」提升至國家安全戰略階層的報告,其目的在於「透過制定防護措施,整合聯邦、地方政府及民間企業之能量,達成保護資訊基礎設施免於遭受網攻,以及降低網路空間脆弱性,並縮短遭網攻後之復原時間」的目標。

 後續在歐巴馬政府期間,更宣布一項預算高達 190 億美元的「國家資安行動計畫」(Cybersecurity National Action Plan),專用於提升美國政府內部與各產業的資安能力。該行動計畫包括建立聯邦政府的資安協調機制、全面檢修過時的電腦系統、簡化聯邦網路系統及提高效率、推動連網設備認證、投資資安研究、培育資安人才等,並增設資訊安全官職務,強化國家資安委員會功能。

 在聯邦立法方面,美國國會在2015年12月18日通過了「網路安全資訊共享法案(Cybersecurity Information Sharing Act, CISA),主要在允許私人企業與政府分享個人資訊,使政府可合法自私人企業接收、監控或分享威脅資訊的機制。在此一法案的保障下,諸如Google或Facebook等業者,在提交個人隱私資訊給政府單位時,將可免除侵犯個人隱私的控訴。雖然許多民間團體反對此一法案,認為會嚴重侵犯個人隱私,但在國家安全的立場上,實有其必要性。

 近年來,中共大力發展其網路作戰能力,除一再大規模攻擊民間企業網路,獲取武器設計等商業機密外,更在2015年間成功侵入美國政府人事管理局(OPM)系統,竊取高達1400萬筆現任、退休和卸任美國文官個人資料,使得美國政府和軍事系統受到潛在損害機會大大增加。

 反觀國內,中共對我國之網路攻擊亦是曾出不窮,在國安局呈送立法院的2017年預算書中即指出,該單位對外網路去年1至6月遭受駭客攻擊次數累計達17659次,半年來即已接近2015年全年遭駭次數。其攻擊目的多為情報蒐集與分析,以及測試我方網路防禦能力,入侵者經證實絕大多數來自中共網域,可見中共早已透過虛擬世界,對我進行大肆攻擊破壞,我方若長期無法鞏固資訊安全,防杜保密罅隙,將予敵人可乘之機,招致洩密風險。

 在資安情勢險峻的現況下,各項資安制度的建立刻不容緩。為確保資安工作推動順遂,行政院已於去年8月1日,成立「資通安全處」,統籌辦理國家資通安全業務。現階段,我國除推動「資通安全管理法」外,更致力落實「資安即國安」的核心理念,從安全、便利、效能三個面向,推動資通安全,強化公私協同合作機制,建立情報驅動(Intelligence-based)之國家層級資安聯防架構。

 「患常起於所忽,禍多伏於忽微」,資訊安全工作是一項防患於未然的風險管理過程,惟有人人建立「資通安全,人人有責」的觀念,不斷提升資訊防護的技能,同時強化政府與金融體系、私人企業之關鍵鏈結,透過正式立法程序,使各方能有所依循,並要做到人人隨時提高警覺,方能降低資安威脅,維護國家整體安全。

友善列印

相關新聞

熱門新聞