2018政府機關資安通報現況大公開，6起3級事件最嚴重

對於國內資安通報制度的建立與發展，在近期臺灣通報資安應變年會上，行政院資通安全處處長簡宏偉強調，「如果沒有通報，什麼事都不知道，在通報後，知道了就容易處理，也就能損害控制。」同時，他也特別公布政府機關通報現況，並說明相關機制該如何有效運作。

政府機關資安通報3大嚴重事件類型，以資料外洩最多

關於國內的資安通報現況，首先，簡宏偉公布去年度政府機關資安事件通報的統計，在2018年度，共有262件資安事件通報，其中146件是政府機關主動偵測發現通報，另有116件，是政府機關接獲資安警訊通告所進行的通報案件。若以嚴重等級而言，最嚴重的4級事件為零，3級事件有6件，其餘2級事件43件、1級事件213件。

對於資安事件分級，由於資通安全管理法今年初已施行，因此，簡宏偉先說明了相關變化。他表示，過去對於政府機關的資安防護，都是從行政命令的角度，而在去年通過資安管理法後，所有資安相關防護措施、通報機制、責任等級、情資分享，甚至連公務人員獎懲，全部有法律的依據。

而且，關鍵基礎設施的納入也很重要，因為，其中也包含了屬於民間的企業，所以，相關的法規，就必須要有清楚的限制與定義，透過這樣的方式，才能讓各機關的資安防護，能夠更上軌道。

行政院資通安全處近日公布2018年政府機關資安事件通報現況，資安處處長簡宏偉表示，去年共有262件資安事件通報，其中最嚴重的事件有6起，均屬於3級事件，主要是民眾個資外洩、資訊設備遭植入勒索病毒與系統中斷等。（攝影／羅正漢）

關於政府資安事件遭遇的事件類型上，以去年而言，主要是非法入侵、網頁攻擊為主，而在重大資安事件方面，簡宏偉進一步說明。在這6個3級事件中，主要可畫分為三大類型，包括機敏資料外洩（個資外洩）、核心業務系統或資料遭嚴重竄改（資訊設備遭植入勒索病毒），以及核心業務運作遭影響或系統停頓，無法於可容忍中斷時間內回復正常運作。其中以資料外洩類型為主，比例佔50%。

若將時間拉長來看，在2015到2018年間，政府機關資安事件的主要發生原因，根據資安處觀察，由外部主動惡意入侵的比例其實算少，最常發生的問題是網站設計不當、應用程式漏洞、弱密碼等。簡宏偉指出，這與政府機關委外問題有關，因為很多驗收只看功能面，他們未來將積極處理。

另外，若以去年主要的政府資安事件來看，他們也觀察到一些攻擊手法變化，例如，從利用網頁漏洞入侵政府機關，到以多種網站的框架或伺服器弱點攻擊，與寄送大規模社交工程惡意電子郵件，近期駭客更是改為在政府機關安裝VPN套件後，竊取資料回傳。

關於近年來政府機關資安事件主要發生原因，行政院資通安全處處長簡宏偉指出，最常見的問題是網站設計不當、應用程式漏洞、弱密碼等，其實外部主動惡意入侵的比例很少，未來將針對委外安全驗收問題進行改善。（攝影／羅正漢）

在資通安全管理法中，強調對於通報應變已有明確定義

關於資安通報機制的重要性，在2016年發布國家資通安全發展方案，就能看出端倪。在這項方案當中，政府制定了2017年到2020年的國家資安發展戰略，該方案包括四大關鍵，首先是完備整個資安基礎環境，其次是建構整個國家聯防體系，以及推升資安產業自主能量與孕育優質資安人才。

簡宏偉解釋，隨著基礎架構的完成，就能建構整個國家聯防體系，包括關鍵基礎設施之間，以及縣市政府之間的聯合防護。基本上，資安處期望透過這種方式，讓整個臺灣各公務機關形成綿密的網路，一旦資安事件發生，就容易掌握。

關於情資分享方面，簡宏偉也指出，自2016年資安處成立以來，開始推動整體關鍵基礎設施聯防，現已從以往的兩層制變三層制。簡單而言，從最底層的關鍵基礎設施提供者，通報到上層領域的情資中心，並且分享，而情資中心也將經過去識別化等方式，再分享到國家的情資分享中心。

對於這項改變，主要是資安處考量到各領域之間，有一些資訊並不適合分享，因此，針對不同領域，將有對應的處置方式。簡宏偉並指出，這些資料將是經過彙整、去識別化的形式，並在通訊傳播委員會與經濟部協助下，逐步建立。

事實上，近年資通安全管理法的通過與實施，已經代表政府意識到通報的重要性。簡宏偉更是強調，在整個資安管理法的架構中，通報是很重要的一件事。在通報的同時，也要情資分享，還要有可以稽核與管理的方案來掌握全局。不僅如此，之後每年也要將這些資訊送進立法院，如此一來，若是突然發生資安事件，就能知道各個政府機關是由誰稽核，或是輔導，以及系統是由誰開發。更重要的是，資訊送到立法院後，都將是公開的內容。

對於資安事件通報應變與情資分享，在資安管理子法架構中是相當重要的一部分，當中並有具體的定義與規範，包括訂定事件通報應變機制，以及通報、損害控制及復原、情資分享，還有調查處理及改善。（攝影／羅正漢）

至於法規的施行與落實，簡宏偉強調，通報不僅是義務，更是法律上明定要做的工作，例如，在資安法第14條，就針對通報有明確的定義。而且，在各機關角色與權責，也都有清楚說明，以公務機關而言，必須對上級機關提報資安維護計畫實施情形，或是通報資安事件與提出改善計畫，相對地，上級機關會對公務機關進行資安稽核，同時，主管機關──行政院也將監督上級機關。而針對民間機關等特定非公務機關，則由中央目的事業主關機關來處理，通報管理流程大致相同，較特別的是，行政院也可以同時直接對特定非公務機關，進行資安稽核。

在具體作法上，簡宏偉指出，現在都詳細定義通報的作法與內容。例如，在事件通報及應變辦法上，為強化各機關的因應，規範事件的分級，以及事前演練、事中通報及應變，並有事後改善的程序與機制；而在資通安全情資分享辦法上，提升各機關的資安預警能力，強化資安相關資訊的交流。

綜合而言，透過資安管理子法架構，從訂定事件通報應變機制、通報、損害控制及復原與情資分享，到調查處理及改善報告，將透過一連串的機制與流程，以強化重要機關的通報與應變能力。

另外值得注意的是，在通報流程上，依照現行法規要求需在一個小時內通報。簡宏偉指出，通報速度越快越好，初步的資訊可以不用太詳細，主要是能有助於資安處判斷，像是同一時間若收到多個通報，這也顯示事件範圍擴大。而在通報完成後，將進行事件等級審核的程序以及事件處理流程，基本上，較輕微的1、2級事件要在72小時內處理完成，3、4級事件則是36小時。他強調，越嚴重的事件，處理速度必須要更快，並在一個月內提出改善報告給上級機關與資安處。

而在資安事件分級的依據上，主要依照是否為核心業務，以及是否屬於CI關鍵基礎設施來畫分。而且，若事件發生在關鍵基礎設施，資安事件等級將比非關鍵基礎設施高；如果同一資安事件，影響兩個以上機關或領域，資安事件等級也將往上提升一級。

至於情資分享辦法中，現行法規也對情資已有清楚定義，包含像是情資分享的對象，以及分享方式，也將限制部分資訊為不能分享。