為了因應武漢肺炎的疫情,在今年農曆春節前,臺灣就已在1月20日宣布成立「嚴重特殊傳染性肺炎中央流行疫情指揮中心」,因為,根據當時政府掌握的情資,我們已經觀察到中國的肺炎疫情,持續升溫,且鄰近國家,如泰國、日本、韓國等,接連出現確診個案,為了做好因應疫情的行動,因此透過防疫指揮中心,統籌整合各部會資源與人力。

談到疫情指揮中心,相信大家都能意識到它的重要性,因為,它在這次防疫扮演了最關鍵的角色,從檢疫措施、衛教宣導、防疫物資整備,到針對醫療院所感染管制預作規畫、演練等,這個專業團隊都隨疫情變化持續做出對應的處置動作,減少了事件對國內的衝擊。

不過,這個防疫指揮中心的設立,也是因為過去我們有著慘痛的防疫經驗。在2003年,臺灣受到SARS事件的衝擊後,政府體認到當時的資訊交換、人員調度,以及執行的決策,不論是在平行或垂直整合都相當受限,因此,政府在2005年參考美國衛生部指揮中心的概念,讓指揮中心在平時能監測疫情,依疫情及災變需求設立應變指揮中心,而且,這10多年之久,以今年而言,為了因應武漢肺炎疫情,已是臺灣中央流行疫情指揮中心第9次開設。

企業需打造資安緊急應變力

事實上,緊急事件應變在很多領域都同樣重要,在資安領域也是如此,畢竟,資安沒有100%安全,就跟健康的人仍有生病可能性的道理一樣,所以,應變與復原都是重要的一環。

在此同時,近年來,由於企業遭受網路攻擊事件更頻繁,資安界開始流行安全事件應變(Incident Response,IR),以及電腦資安事件應變小組(Computer Security Incident Response Team,CSIRT)的概念,還有近期像是近年美國提出的NIST網路安全框架,當中點出五大安全構面,包含識別、保護、偵測、回應與復原,其中最後兩項也都與此有關,近年資安界常談的資安韌性,其實也都具有這樣的概念。

而無論是防疫工作的統籌執行,或是資安事件應變,都仰賴一個有遠見、有指揮力、執行力的團隊,也因此,多位資安專家也都指出疫情指揮中心(資安應變團隊)的重要性。

簡單來說,當企業遭遇資安事件時,緊急應變團隊能否迅速動員起來將是關鍵。一般而言,從編制來看,有些是實體的固定編組,有些是虛擬的負責單位,虛擬所指的是不同團隊人員組合起來,這就與我們日常工作中,接到多個任務分組一般,如此一來,面對重大事件時,就能有獲得充分授權的指揮團隊與指揮官,以加速確認資安事件發生的手法及範圍,並根據現況來應變。

那麼,國內企業、組織都已經具備資安緊急應變力了嗎?TeamT5杜浦數位安全執行長蔡松廷認為,我們應該先回答下列問題:以疫情指揮中心而言,大家都知道事件由哪個單位負責,因此不會有踢皮球的狀況,而如果從企業資安來看,當事件發生時,又是由誰來掌控呢?

他表示,在大多數狀況下,相關人員是各做各的事,例如,資安和IT彼此獨立運作,然而,當資安人員在處理事件時,由於調查過程會牽扯到很多電腦、網路、設備與機房等,但負責人員沒有權利調用這些資源,此時,就需要找IT部門協助,或是請示長官等,這會造成很多時間的浪費,而這樣類似的狀況,正不斷出現在國內的許多產業當中。

真正能做好應變準備的企業或組織相當少,在蔡松廷的經驗中,僅有一成的臺灣企業能夠達到要求,有部分企業則是雖然已有概念,但因為缺乏演練,因此應變上仍出現混亂的狀況。

要持續推動這些工作,需要許多條件配合,然而,防疫指揮中心的成效,也不是一朝一夕就能達成,但經過一段時間的努力和溝通,最終證明了大家的努力沒白費。相對來看,值得國內企業進一步思考的是,組織是否已經透過制度設立緊急應變小組,並做好演練。

成立最高層級指揮中心,統一指揮調度,是緊急事件應變的好方法,TeamT5杜浦數位安全執行長蔡松廷建議,資安應變團隊至少要有專門負責事件調查、災難復原與溝通協調等不同角色。

變團隊能否有效運作,關鍵仍在於分工與橫向溝通的效率

從這次疫情指揮中心的運作來看,其實,團隊分工與橫向溝通,是背後容易忽略的焦點。

以疫情指揮中心下的編組而言,包含了專家諮詢小組、疫情監測組、邊境檢疫組、社區防疫組、醫療應變組、物資組、研發組、資訊組、行政組、新聞宣導組,以及法制組/法務組。而在資安應變團隊背後,也有其不同角色分工,是事件應變計畫所要預先規畫的。

例如,現在重大受矚目的資安事件發生時,企業可能會受到廠商、上層單位、媒體與客戶等的關心,如何不讓這些來自四面八方的詢問,干擾到資安應變團隊的運作?TeamT5蔡松廷給出基本的建議,企業至少建立三個任務小組,包括事件調查、災難復原與溝通協調,讓對外的窗口能獨立,而這三個任務小組也要做到同步協調,像是每天早上開應變會議。

而且,為了要讓直向與橫向的溝通,以及跨部門的協調,都要能夠順暢,因此應變團隊負責人的均需充分授權,他提醒,這些是從一開始就要規畫好的部分。

對此,勤業眾信風險諮詢服務執行副總經理林彥良表示,以資安緊急應變小組的角色而言,橫向溝通相當重要,例如,公司部門有6個副總,誰要聽誰的?誰要扛責任?這些都要有上層指派以及事先規畫;至於由誰來擔任應變負責人,他表示,其實不一定是資安長,雖然傳統是由資安的人去負責,但涉及到公關媒體,以及客戶相關的聯繫及消息公布,因此還是要由上面層級指派,而這也涉及公司的組成,像是金融業可能有資安長能負責,但若是非金融業,往往是財務長最有權利協調。

還有一點是,當遇到重大資安事件時,組織能否即時啟動CSIRT團隊因應,也是他們額外會提醒的部分。值得一提的是,對於危機事件緊急應變,從企業管理角度來看,應是許多大型企業本身已存在的流程與做法,例如,上市公司原本就有發言人的體系與制度,而資安事件應變其實也可以融入與應對。

要有整套的資安事件應變規畫

面對公共衛生或資安威脅的應變,有專人負責只解決了部分問題,企業可不能只學一半,要知道的是,企業設立資安應變小組,其實只是整體資安事件應變計畫的一環,當中還有事前、事中與事後的工作要進行,也需要制度與規範的配合,以及可執行性的考量。

戴夫寇爾執行長翁浩正建議,企業可以參考非營利組織CREST,所提出的資安事件應變流程(Cyber Security Incident Response)架構,當中規畫了3大階段,從準備、應變到追蹤,並細分成15個步驟來實施。

其中,翁浩正特別提醒追蹤方面的重要性。例如,在防疫過程中,我們因為曾有SARS經驗的檢討,才會有疫情指揮中心的設立,在資安上也是如此,像是一兩年前的勒索病毒威脅下,對於備份這種很基本,早該落實的工作,才真正受到重視,到了那時候,有很多企業開始檢視自己是否做好備份,以及是否驗證備份的有效性。

 更多相關報導  從防疫學防駭


Advertisement

更多 iThome相關內容