:::
2020/12/04 

全民國防

【全民國防】提升資安觀念 維護數位國土安全
 為促進國家發展所需的網路安全環境,有賴全民貫徹良好的資訊設備使用習慣,共同維護數位國土安全。(本報資料照片)

◎朱祥中

 世界經濟論壇《全球風險報告》自2007年起,訪談相關專家、研究人員後,以最有可能的風險與影響最大的風險,實施交叉比較與綜合評估,今年首次出現前5大最有可能之風險皆屬「環境」範疇,同時在影響最大之風險的前5名中「環境」也占3項,但屬「科技」範疇的風險,在兩大風險的前10名仍各占有2項。

 最有可能之風險為「資料詐欺與竊取」(第6名)和「網路攻擊」(第7名),影響最大之風險則是「資訊基礎設施破壞」(第6名)及「網路攻擊」(第8名)。7月底,國家安全會議諮詢委員李漢銘在「臺灣大未來,十年新變局」高峰會提到,今年資安為防疫外的另一個顯學,資訊安全局面變化大、重要性高,遭侵害的企業、組織或個人,不見得會意識到,但沒意識到不代表沒發生。

 今年3、4月,國立臺灣科技大學某學生發現,存放電腦的實驗數據全遭刪光,警方查出2天內共有5個IP侵入,檢察官判斷,IP持有者遭真正侵入者盜用,做為跳板,侵入臺科大實驗室電腦主機。9月10日,德國杜塞道夫大學醫院遭勒索軟體攻擊,致急診室被迫關閉,讓一名急診病患須轉至30公里外的醫院,因此死亡,而這很可能是全球首起因勒索軟體攻擊的致死案件。上述分析及案例顯示,人類除面對氣候變遷的威脅,在職場、家庭、生活等領域,及每日已不可短缺的網路與資訊產品,也同樣充斥危機。

 疫情加重網路倚賴 潛藏威脅

 英屬蓋曼群島商防特網公司發表的《全球威脅型態報告》稱,今年上半年偵測到全球電腦病毒活動數量,較過往增加131%,其中我國在病毒及殭屍網路的盛行率,以及企業入侵防禦系統的觸發率均較高。趨勢科技調查27國共1萬3000多名遠距工作者,疫情期間的生活與工作習慣,提出報告表示,70%的遠距工作者,以公司核發電腦連接家用網路,若安裝未奉核的應用程式,存取家用物聯網裝置,將對企業資料和系統帶來風險。另有超過52%的遠距工作者,會將物聯網裝置連上家用網路作業,其中10%使用較不知名的廠牌,多含有眾所周知的弱點,如軟體含有尚未修補的漏洞,或登入密碼不安全,增加家用網路遭駭機會,讓駭客以缺乏防護的裝置為跳板,駭入工作者所連接的企業。調查局表示,政府各單位資訊服務供應商因負責重要資訊系統的開發及維運,也成為駭客主要攻擊目標,作為跳板攻擊政府各部門。

 美國國家安全局考量疫情或其他危機,將讓政府人員被迫居家工作,可能就此使用未經核准的資訊設備,因此今年4月24日頒布遠距工作相關指導,以降低遠距辦公執行協作時的網路安全風險,提升駭客攻破目標的難度。

 首先,選用非公發之協作設備服務時,要檢驗9個要項:一、所採用產品或服務能否實現端到端加密;二、是否使用強大、具公信力、可測試的加密標準;三、是否使用多重機制驗證用戶身分;四、用戶能否查看和控制與何人連接執行協作會議;五、服務隱私政策是否允許供應商、服務與第三方或分支機構共享資料;六、用戶能否依需要,從服務及其資料庫中安全刪除數據;七、協作的平台、軟體源代碼,是否屬公開共享性質;八、供應商的服務和應用的安全性,是否經過政府機構同意、審查或認證才獲使用;九、供應商服務、軟體的開發和託管,是否受政府管轄。

 其次,在檢視使用協作服務的安全時,也提供7項指標:一、如果可能,請使用受政府管理和預定供政府使用或其所提供的設備,以及專為政府所用而設計的安全服務;二、如果下載協同作業服務應用程序,須確保來源實屬可靠;三、確保在啟動協作會話時,啟用加密手段;四、使用最安全的方式進行會議邀請;五、會議開始前及整個會議通話中,確保只有預定受邀者參加;六、確保任何資訊都適合參與者共享;七、協作會議期間,確保實體環境中,不會有突來的語音、影片或數據。

 全民舉報漏洞 維護資安環境

 趨勢科技全球技術支援與研發中心7月6日表示,發現由19個可被駭的漏洞所組成的「Ripple20漏洞」,駭客可透過有漏洞的裝置,對數百萬台物聯網裝置造成嚴重影響,各個產業(醫療、石油和天然氣、交通運輸、電力和製造業等)的關鍵設備,都可能受影響,為提升產能及效率,將物聯網導入工業控制環境,使用的連網設備及微型感應器將難以計數,但也增加駭客危害管道與攻擊風險。

 美國國土安全部轄管的網路安全及基礎設施安全局,將2020年定為漏洞管理年,4月底曾要求美國各聯邦機構,發現重大風險漏洞的15天內,須完成修補,而高度風險漏洞修補期限則為30天;9月2日頒布強制命令,要求所有使用「.gov」的聯邦機構,須於180天內公布漏洞揭露政策,同時建立安全聯繫窗口,以利安全研究人員提交系統漏洞。該單位的網路安全助理局長表示,當大眾有能力貢獻時,能讓資安更強大,關鍵是以政策協助大眾合法地發現及舉報漏洞。

 我國為實現「數位國家、智慧島嶼」的理想,持續部署與強化政府資安人員職能,全球資安市場也面臨人才不足的景況,臺灣資安人力缺口保守估計至少破萬,因此,善用全國有限的專業人力,實為當務之急。若能推展鼓勵政策,周延的漏洞揭露政策,將鼓勵社會、企業、學校及智庫等單位與政府機關(構)建立合作關係,讓有能力的專業人員更清楚地知道,可循哪些途徑協力查報漏洞,以及可合法進行測試的系統有哪些?讓全民共同舉報漏洞,以有效維護資安環境。

 結語

 新型冠狀病毒肺炎疫情造成經濟型態與產業結構的轉變,大幅增長網路使用時間與人口,讓有心人士視此變化為駭入政府機關、企業、關鍵基礎設施等良機。若個人網路安全警覺性不足、選用資安產品防護不足,或未設定高強度密碼、啟用多重要素驗證,企業疏於資安觀念宣導、人才培育及設備更新等作為,不僅無法減少國家資安威脅,同時高於他國的殭屍網路與病毒盛行率,更讓我國無法成為全球與區域安全的基石。為促進國家發展所需的網路安全環境,有賴全民堅決選用經認證的物聯網裝置,貫徹良好的使用資訊設備習慣,全民共同維護數位國土安全,為全民國防拓展新領域的開端,盡早開啟充斥人工智慧與物聯網的戰爭準備。

(作者為國防大學戰爭學院教官)

:::

PDF電子報紙