【資安周報第23期】關鍵基礎建設受駭也應有總統級警報

因為地震震個不停，宜蘭震完花蓮震，而上周大家掛在嘴邊最熱門的口頭禪其實就是問，你的手機有沒有收到國家級或總統級的地震速報呢？許多沒有收到通報的民眾，都忍不住幽幽地說一聲「自己是認證過的國家級邊緣人。」

這樣的地震速報是透過建置系統廣播服務（Cell Boardcasting System，CBS）發布訊息的公共預警系統（Public Warming System，PWS），不同於過去簡訊一分鐘只能通知2千人，現在這套系統可瞬間發訊息給連上同一基地臺的1萬人，像在日本也早有這類PWS系統。

雖然首次5級地震通知仍無法送達所有人，不過已證明的確有效，但除了既有的地震、海嘯、核災的「國家級警報」；颱風、豪大雨、土石流等的「緊急警報」；以及避難處所、疫情提醒的「警訊通知」，是不是還可以納入其他資訊的通知？

可思考將關鍵資訊建設受駭資訊，納入政府災害預警系統中

尤其是，現在網路攻擊事件層出不窮，我們也好奇想問，如果政府或民間企業爆發的各種資安事件，例如，臺灣發生類似韓國在2013年3月20日爆發黑暗首爾（Dark Seoul）的網路攻擊事件，造成銀行和電視臺總計48,700臺電腦，被植入惡意程式且同時間執行該惡意程式後，同時刪除硬碟中的所有的系統和資料時，造成電視臺中斷報導、銀行無法提款等，政府是否也可以在第一時間，提供相關的災害警示訊息服務，讓其他的同業以及受影響的民眾，可以暫時安心呢？至少，民眾會知道，我平常往來的銀行，到底還能不能提款呢？

或者是，如果臺灣的電廠也爆發類似去年耶誕節前夕，烏克蘭電廠突然發生駭客植入木馬程式，導致電廠發生停電事件時，是否也可以有類似的資訊發布平臺或管道，讓其他更多關鍵基礎建設的業者，以及相關的通報機關和受到停電波及的民眾等，都可以在第一時間接收到這樣的警訊通知，讓大家因為了解發生什麼事情，反而更能平靜的面對接下來的挑戰呢？

但是在臺灣，類似這樣把資訊安全當成重要緊急事件通報，目前只有當政府內部機關遭受到資安攻擊時，須依照規定盡快進行資安通報，一般多以電子郵件通報，只有少數更嚴重的第3、4級資安​​事件時，才會主動以簡訊發送，而且只會通知主管機關，而非受影響的利害關係人。

可是，若是類似關鍵基礎設施遭到駭客攻擊入侵時，除了受駭機關的人員和長官，以及通知主管機關讓其即時掌握情況之外，受到影響的民眾，難道也不需要盡快知道嗎？

其他像是波羅的海三小國中的愛沙尼亞，便曾經在2007年，遭到來源不明、大規模的DDoS（分散式阻斷式）攻擊，由於該國是歐洲推動電子化政府相當成功的國家，許多重要的服務很早就已經透過網路提供服務，當年，因為愛沙尼亞的骨幹網路被癱瘓，有些服務根本無法連網，或者是連線品質不穩定導致無法提供應該有的服務，該國受到DDoS攻擊的時間，前後大約一個月之久。

愛沙尼亞遭到網路攻擊的過程中，當時是透過大眾媒體傳遞相關的受駭資訊，但如果當時受駭單位包括電視臺、廣播電台呢？又該如何將相關的受駭情況，在第一時間傳遞給受到波及的民眾知情呢？如果是現在臺灣遭受到，類似這種國家級的DDoS大流量的攻擊造成許多網路服務和系統癱瘓時，連電視臺、網站都無法正常運作時，民眾在不知情的情況下，又該是多惶恐呢？

或許，因著這樣的地震災情訊息發送測試之際，也讓新政府有機會進一步思考，是否可以將這些與民眾切身相關的關鍵基礎建設的受駭資訊，主動傳遞給當地受影響的對象，像是，假設核電廠或電廠如果真的受駭時，是否應該第一時間主動將這樣的災害訊息傳遞給受波及民眾呢？相信都是未來政府在設定國家災害等級的資訊傳遞時，可以進一步思考的方向。

政府部門應該也要主動協助企業解決資安問題，日韓政府是典範

除了希望政府部門可以思考，是否主動把相關與民眾相關的的受駭災情，傳遞給受波及民眾知情外，面對各種資安威脅，政府也必須意識到，包括臺灣在內，有許多中小企業其實是無力處理這樣的資安受駭議題。

但是，在網路無國界的前提下，各國所謂的資安防護水準往往取決於資安防護最弱的環節，也就像是木桶理論，一個木桶可以盛裝的水量，往往和木桶最短的木板長度有關係。因此，要確保一個國家的網路環境是安全的，政府部門其實也必須將這些脆弱的資安環節，納入整體資安防護的策略規畫中。
以日本東京都為例，為了解決多數東京都內的中小企業，沒有能力也沒有經費解決所面臨資安問題，以至於無法制定出適當的資安對策時，由東京都、警視廳（警察局）以及民間企業等，一起召開如何協助中小企業制定資安對策以及提供相關的網路支援會議。

在會議後，東京都政府決定，在今年4月底，於都內設置一個有5位嫻熟網路攻擊應對的資安技術人為，作為中小企業諮詢網路資安的窗口。如果這些中小企業遭到任何網路攻擊而無力解決時，就可以主動和這個提供中小企業諮詢的窗口請求協助；如果連這五位技術人員都無法解決這些資安問題的話，相關案件就會轉由警視廳的專門資安團隊，協助解決相關的資安問題。

而韓國更早就意識到，政府相關部門必須要協助中小企業解決所面臨到的資安問題，中小企業的網路環境是安全的，才能進一步確保國家整體網路環境也是安全的。

以韓國為例，早在十多年前，就已經打造一套118電話直播專線，只要民眾或中小企業遭到任何網路攻擊或資安威脅時，拿起電話播打118，就會有韓國電腦網路暨危機處理協調中心（KrCERT/CC）24小時值班的工作人員，在電話另一端，協助解決資安問題。

除的提供窗口之外，韓國政府做的更多，協同民間資安業者，一起提供各種資安監控服務，例如，KrCERT/CC針對韓國200萬個網站，每4小時進行一次MCF（Malicious Code Finder ）網站掃描服務，藉由定期掃描網站的惡意程式和惡意連結，可以大幅減少相關資安風險，確保網路使用者在瀏覽網站時的安全性。

另外，許多網站也害怕被DDoS癱瘓網站服務，KrCERT/CC也和業者合作，提供免費的阻擋DDoS攻擊流量含清洗流量的服務：DDoS Shelter System，提供免費阻擋DDoS的服務，確保業者的網站不會被駭客癱瘓。

甚至於，KrCERT/CC也和資安業者合作，針對政府和中小企業提供免費的網路防火牆計畫：CASTLE，透過檢查網路要求（Request）與回應（Response）封包的內容，可以分析該封包是否合乎安全規範，即時攔截駭客針對網站系統或利用各種應用程式漏洞所發動的攻擊行為，除可以確保網站安全，並且保護後端資料庫安全。

相較日韓政府都已經意識到，政府的確應該要出面協助沒有能力自行解決各種資安威脅的中小企業，一個正視資安威脅並解決問題的管道。而臺灣新​​​​ 政府在觀摩日韓政府針對中小企業提供的資安作為後，也可以思考，臺灣政府到底可以幫忙這些弱勢的中小企業們做什麼，對於臺灣整體網路安全是更有利的。

本週（5/8～5/14）重要資安事件回顧：
※ 中國知名ARM處理器業者被爆韌體藏後門程式，可取得平板電腦管理員Root權限

※ 美國再傳PoS攻擊，溫蒂漢堡300分店遭殃

※ 聰明還不夠，IBM聯手8所知名大學訓練Watson網路安全認知能力

※ Google大爆26個Aruba產品資安問題，Aruba已緊急釋出更新修補漏洞

※ 美國土安全部警告：駭客已對SAP舊漏洞展開攻擊，至少36家企業受害

※ Adobe正在搶救Flash漏洞，最快今日發布安全性更新

※ Salesforce服務大當機近24小時，連CEO都上Twitter緊急道歉

※ 泰醫學院逮6名考生以智慧眼鏡與手錶作弊，逾3千名考生得重考

※ Slack釋出Sign in with Slack，讓用戶能以Slack帳號登入第三方服務

※ Opera推出iOS版免費不限流量的Opera VPN，翻牆、防追蹤更容易

※ 手機用戶端安全修補太慢，FCC與FTC要手機/電信商說明白

※ 微軟安全情報報告首度揭露雲端安全防護，一天處理超過130億次身份驗證

※ 聯想PC預載軟體爆重大漏洞，緊急修補

※ Google修改VirusTotal病毒資料分享政策，資安業者不回饋就踢出去

※ 「共享經濟」下政府調閱資料誰最挺你？EFF：Uber與Lyft

※ Android是否侵犯Java API版權？Google、甲骨文將在法庭再次對決