圖片來源: 

臺灣駭客協會HITCON

我們常說,在遊戲中學習,能夠學得更快、更好,而捷克國家數位資訊安全局(National Cyber and Information Security Agency,NUKIB)的專家,首度在HITCON Pacific 2018大會上,以桌遊做為兵棋推演(Table Top Exercise, TTX)的方式,模擬一個國家面臨資安攻擊時,政府當局需要如何因應。

捷克國家數位資訊安全局網路演習負責人Martina Ulmanova表示,當國家面臨重大的資安攻擊時,需要做出相關決策的人員,往往未必具備IT背景,而資安專家則可能難以回應即時需求,而他們舉辦的桌遊活動,便會突顯這樣的情境。因此,她認為必須仰賴事前的演練,強化國家整體的應變能力。而透過桌遊的方式進行,不僅成本低廉,還能促成參與者集思廣益,討論出各種可能的作法。

因應資安事件,反制攻擊只是其中的一部分

這場活動裡,Ulmanova強調,資安並非單純的技術問題,重點應聚焦在如何執行的層面。她舉出了烏克蘭在2015年12月,因駭客攻擊造成全國大停電的事件為例,要在場聽眾思考,假如你們是執政者,要如何因應這種攻擊事件?上述的事件中,政府不光要設法處理技術上的問題,儘速恢復電力,停電的過程中,也可能會面臨排山倒海的輿論壓力,因此,總統要以什麼方式向大眾說明事件的狀態,進而安撫民心,以免造成恐慌,就相當重要。

再者,攻擊事件的過程裡,媒體也扮演著相當重要的角色,Ulmanova說,他們在過往的兵棋推演中,就經常會出現媒體發布了錯誤訊息的情形。

另一方面,不同單位的決策者,他們考量的層面也會有所差異,像是軍事單位的首長,與行政單位的出發點就完全不同。例如,政府可能要從災害復原的計畫著手,而軍事首長要優先決定的是防禦措施,因此,不光是與技術人員存在IT技術認知上的鴻溝,就連決策者之間,都會可能出現不同調的現象。

因此,Ulmanova表示,他們藉由桌遊的兵棋推演,模擬整個國家當局面臨資安攻擊的高壓狀態,而且所有參與者必須不斷討論並研擬對策,因應桌遊中出現的各種事件。

在這場桌遊中,所有參與者每6至7人一組,代表桌遊劇情的國家Niceland進行決策,並面對4起事件,而這些事件,都是由真實事件改編而成。Ulmanova強調,他們的兵棋推演任何人都可以參加,不過,若是聽眾具備政府單位的員工、記者,以及技術專家的身分,他們認為更應該參與這樣的情境演練。

透過桌遊兵棋推演的方式,講師會在指定時間內下達事件,以圖中而言,是面臨電力設施遭受攻擊,參加遊戲的人員就要依據講師提供的情境,討論出因應的策略。(圖片來源/臺灣駭客協會HITCON)


Advertisement

更多 iThome相關內容