圖片來源: 

擷取自衛生福利部YouTube頻道

在全球疫情爆發期間,大家每天最關心的事,就是透過中央流行疫情指揮中心每日召開的記者會,瞭解今天臺灣增加了多少確診個案?是境內感染還是境外移入?

關於每日記者會的作用,大家都有深刻感受,因為所有民眾都能透過這樣的管道獲取正確訊息,瞭解國內疫情發展,以及防疫新措施。

在這次防疫經驗中,為什麼疫情指揮中心會受人喜歡?相信很多人都有同感,那就是資訊透明,包括疫情的資訊,以及對事件的處理。更準確一點來說,就是要讓可公開的資訊盡量能夠透明,透過這樣的溝通方式,讓大眾能夠瞭解事實並理解用意,這不僅是可以化解民眾的不安與恐懼,也能促使大家同心協力配合防疫。

這樣的觀念,可以有效提升大眾對政府防疫工作的信心與信任,在資安防護上其實是相當值得學習之處,將能有助於上級單位掌握情形,同時也有助於外界理解與學習。

防疫資訊揭露幫助大,企業對於資安事件不該抱持隱匿態度

疫情指揮中心每日記者會召開記者會,透明的溝通態度讓全民印象深刻,衛生福利部資訊處處長龐一鳴表示,對於資安事件回應,資訊透明揭露、主動溝通,也是提高大家警覺的有效方法。  (攝影/洪政偉)

對於這次防疫經驗上,每日召開記者會所帶來的成效,衛生福利部資訊處處長龐一鳴強調:「透明是溝通的基本態度」。

對於政府國家的資安而言,在發生資安事件時,龐一鳴指出,很多單位常常是遇害都不願意講,這也是為何現在政府要鼓勵通報。因為,大家若是都不願意通報,這些情資也就不會知道,他人也無法學習。

更嚴重的是,如果自己都不願意講,在這樣的態度之下,搞不好連自己該要掌握的真相,都不見得清楚。

因此,企業內部事件處理透明很重要,上下才能齊力一心做好應變。要能讓所有組織的人都掌握情況,共同提升資集體意識,應變指揮才能更順暢。

另一方面,對外資訊也應在資訊可公開的前提下,盡量可以透明。他舉例,對於資安事件的問題,一般都會關心是何種病毒、攻擊管道與影響範圍?雖然有些資訊的調查,可能不會那麼快出爐,不過眼前受損與影響範圍,應該是自己能夠掌握的,因此態度很重要。

他並以自己的經驗為例,像是去年臺灣多家醫院同時遭受勒索軟體攻擊,關於遇害的醫院數量統計,對於我們每次詢問,他都會提供衛服部這邊有的資訊,儘管當時外界傳言數量更多,因為還有不少民間醫院遇害,但他也表示,衛福部本身就是將能掌握到的資訊公開,並且是可以將名單列出的。

至於近期國內臺灣中油發生資訊系統受駭,包括中油自己與經濟部都講不清楚,或許當時面臨的資安威脅有難言之隱,但換個角度來想,對外揭露的公開資訊太少,其實外界也無從理解與包容,所幸,近年開始施行的資安通安全法,從法規面要求關鍵基礎設施必須通報,將有助於上級單位掌握情資,或是通知其他可能感染,或有被滲透風險的企業或組織。

要推動這樣的觀念,需要大家能夠更正面去看待資安事件的發生。要知道的是,其實,過去臺灣在面對傳染病時,防疫資訊也並非如此透明,在五十多年前,龐一鳴表示,年幼孩童可能需要接種霍亂疫苗,因為臺灣有些地方真的會爆發霍亂,只是當時政府都不願意公開;此外,還有近年臺灣記錄片導演李惠仁追蹤禽流感疫情,挖掘出農委會隱瞞疫情的情況。

過去,我們其實花了很多時間在學習這些,現在,我們的防疫態度是越來越透明,因為,讓可公開資訊盡可能透明才能獲得民眾理解,幫助達到更好的防疫成效。而我們看待資安事件的態度,應該也要有所轉變。

資料外洩要能通知使用者

另一個值得提醒大家的觀念是,在資安事件類型中,對於個資外洩事件,大多數的機構不會主動通知使用者,這樣的問題,近年備受各界關注。

在國際上,個資或隱私保護越來越受重視,全球也都在制訂這方面的法規,而通報主管機關與告知當事人,以及發出資料外洩資安事件公告,就是普遍企業應該都要知道,並能夠做到的基本工作。

不過,臺灣在這方面也應做出努力,多數企業傳出疑似資料外洩事件,有些企業似乎也未察覺事故發生,即便知道,我們也並未看到他們像國外服務業者懂得發出提醒(或許是因為國外企業知道,如不這麼做,會被罰得更重)。

無論如何,當資料外洩的問題與企業用戶息息相關時,現在的趨勢就是開始要求,讓用戶在事件發生後,可以知道企業發生了什麼事,影響範圍,以及可以做出什麼樣的因應。

至於企業該如何照著做?戴夫寇爾執行長兼共同創辦人翁浩正表示,美國聯邦貿易委員會(FTC)提供了一份資料外洩聲明的範本,就是要讓企業可以參考的指引,能夠清楚描述目前資安事件的情況。當中通知使用者的內容,包括資安事件事如何發生?被取得了什麼資料?說明企業或組織已經採取的處理措施,還有提供的支援與聯絡方式等。

 

為了讓大眾能夠瞭解疫情事實並理解用意,在國內疫情緊張期間,中央流行疫情指揮中心在每日下午2點舉行的記者會,成為全民關注焦點,而這樣的溝通效果,也證實了透明揭露帶來更好的防疫成效。

提升防疫成效的兩大秘訣,就是做好溝通與分享

此外,每日記者會其實隱含了溝通與分享的概念,例如,記者會上會用淺顯易懂得方式,來說明專業醫學與公共衛生,大家會更有概念,資安上也可以這麼做。同時,每日記者會公布的消息,也讓疫情資訊,能夠分享給需要知道的人,而這麼做的目的,就是要讓每個人都能持續提高警覺,促使達到更好的防疫效果。

面對更嚴峻的資安威脅態勢,政府在近年也正採取更多行動,例如,針對八大關鍵基礎設施,陸續建置資安資訊分享與分析中心(ISAC),這樣的作法,也是希望要讓情資分享更順暢,並且建構「聯防」的體系,讓需要知道相關重要資訊的單位,在資安預警或事件發生時,能很快提高警覺,以及處理與應變,大家才能一起因應。

 更多相關報導  從防疫學防駭


Advertisement

更多 iThome相關內容