情境示意圖(iThome檔案照)

在八大關鍵基礎設施服務的提供者中,交通部管轄的陸、海、空運業者種類多元、數量龐大,要如何打造一套資訊資安分享與分析中心(T-ISAC),降低相關業者所面臨的資安風險,是交通部的一大挑戰。

交通部科技顧問室參事兼管理資訊中心主任王穆衡表示,在資通安全管理法頒布後,各種交通運輸業者成為關鍵基礎設施服務提供者之一,也讓許多特定非公務機關開始意識到,要扮演好關鍵的關鍵基礎設施服務業者之一,必須要時時提高警覺。他也以高鐵公司為例,高速行駛的交通服務,原本就需要主動針對自然災害和各種資訊情報做判斷,以確保服務品質的穩定提供。

交通部科技顧問室參事兼管理資訊中心主任王穆衡表示,打造廣納各種國內外資安威脅情資的T-ISAC,相關業者也必須真正落實各自的資訊資產盤點,以及風險評估。(攝影/洪政偉)

資訊資產盤點與風險評鑑是重要的資安情報分享

王穆衡也說,許多交通運輸業者的系統,都是專屬或封閉的交通運輸的工控系統,要打造一個可以廣納各種國內外資安威脅情資的T-ISAC,同時,相關業者也必須真正落實各自的資訊資產盤點,以及風險評估。

交通部除了收集各種攻擊手法、攻擊標的、資安弱點、入侵攻擊情報、歷史事故,以及資訊系統與工業控制系統的國、內外資安威脅情資外,也納入高鐵和臺鐵等業者的資訊盤點,以及風險評估結果。

他說,藉由這些情資分享,已經針對交通領域提供了超過60則以上的資安情資,同時,可以為其他交通領域的關鍵基礎設施場域維護人員,提供更多有用資訊,以便做到必要的資安預防措施。

事實上,交通部在2017年提出T-ISAC專案,到2018年4月正式維運,過程中,除了T-ISAC外,還要求相關的運輸服務業者做風險評鑑,以及資訊資產盤點,今年更加強平臺的資安規畫、資安檢測及防護機制,最終希望可以為交通領域的資安資訊分享與資安聯防,建立堅實的基礎。

不過,這些來自於高鐵、臺鐵提供的資訊資產盤點、風險評鑑資訊,相關業者雖然知道其重要性,當下也都有防護措施,但他也提醒,這類工控系統或封閉系統的風險被盤點出來後,就應該要回到各自組織內部去解決這個問題。

換言之,這些不論是人力、設備或者是SOP產生的風險議題,對於其他業者而言,都是可以參考的警訊,而像是客運業者提供給客戶使用的App,多是經由委外開發而來的,如果業者可以事先提供相關的App委外開發的經驗分享,也能夠藉此協助其他業者降低不必要的資安風險。

 相關報導  打造國家級資安情報力


Advertisement

更多 iThome相關內容