科學園區示意圖(圖片來源/維基百科)

臺灣有三個重要的科學園區,都由科技部各個科學園區管理局負責,而在資通安全管理法中,沿用國土安全辦公室的關鍵基礎設施類別,將科學園區列為主要的關鍵基礎設施服務業者,依法需打造資訊資安分享與分析中心(ISAC)。

科技部資訊處處長薛大勇指出,臺灣各個科學園區有許多全球重要的關鍵產業業者,一旦爆發重大資安事件,可能影響國家經濟發展。

因此,科技部雖然只將科技園區管理局列為關鍵基礎設施服務提供者(CI),但該局打造的SP-ISAC,相較於其他關鍵基礎設施業者的不同,就是吸納大量企業加入。「光是2019年第一季,加入SP-ISAC的業者就超過九百間。」他說。

科技部資訊處處長薛大勇表示,將科技園區管理局列為關鍵基礎設施服務提供者(CI),可保護園區廠商的資安,降低對業者帶來的損害。 (攝影/洪政偉)

分享攻擊情資有成,吸引園區業者主動要求加入

薛大勇表示,行政院針對八大關鍵基礎設施業者,要求成立ISAC(資訊資安分享與分析中心),彼此資安能聯防,交換情資並掌握最新的攻擊手法。

其中,因為科學園區有許多民間企業,但這些業者當中,有些公司並不重視資安,寧可將大筆資金投資在研發項目,卻不投資在資安項目。因此,這些民間企業若加入SP-ISAC成為會員,即可享受到八大關鍵基礎設施業者打造的ISAC聯防,獲得互相通知、分享最新的資安攻擊手法,藉此保護園區廠商資訊安全,降低損害。

他坦言,SP-ISAC面對加入會員的廠商時,因為這些業者都不在資安法的管轄範圍,因此,並無法產生強制的約束力,相對而言,許多園區廠商的主管機關是經濟部,除非有爆發重大資安事件,才可能藉由主管機關的力量,要求做相關的行政檢查外,實際上,科學園區管理局對相關業者毫無強制力。

雖說科技部對於園區廠商沒有任何的約束力,但是,因為SP-ISAC努力主動分享攻擊情資有成,反而吸引多數園區業者主動要求加入。

目前,園區管理局都會針對監測負責範圍的油、水、電、交通、電壓,其他還有包括不斷電系統、備油和通關系統等,因此,要在園區設廠,都須符合設管條例程序規定,才能進駐園區,薛大勇指出,只要業者能進駐園區,皆可加入SP-ISAC。其中,竹科、中科和南科共進駐679家業者,與科學管理園區共用系統,後來開放周邊業者加入SP-ISAC,到今年四月底已突破九百家,推出的教育訓練課程供不應求,2018年只有6場,2019年增加為12場。

SP-ISAC在2017年12月由南科試營運,2018年12月推廣到中科和竹科;諮詢服務在2018年有兩百多次,但2019年第一季有150次以上。薛大勇指出,科技部在7月完成CERT平臺建置,2020年底完成二線SOC平臺建置,未來,將規畫會員付費,以點數鼓勵匿名回饋情資,針對付費會員提供網域監測服務。

 相關報導  打造國家級資安情報力


Advertisement

更多 iThome相關內容