今年二月初,武漢肺炎疫情爆發初期,乘客上千人的鑽石公主號油輪因為曾經在臺灣靠港,並且有在基隆港下船。因為下船乘客人數眾多,加上足跡遍佈北北基(臺北市、新北市、基隆市),因此,流行疫情指揮中心為了提醒,曾經在鑽石公主號乘客旅遊地停留的民眾注意防疫,透過「災防告警細胞廣播訊息系統」(Public Warning Cell Broadcast Service)」發送細胞簡訊給北北基民眾,提醒在1月31日當天上午六點到傍晚五點半,曾經過鑽石公主號乘客停留相關景點的民眾,都應該立刻進行自主健康管理。

針對特定區域民眾發送細胞簡訊,部會和縣市政府才有發送權限

當大家經歷第一次發送細胞簡訊的震撼教育後,接著來到清明連續假期的考驗。因為臺灣民眾已經悶了二個月不能出門,結果造成清明連假各個景點都是人,而在墾丁大街湧現的大批人潮,也讓流行疫情指揮中心採取因應措施,那就是直接在4月4日上午11點40分下令,針對全臺灣11處旅遊景點以及在墾丁旅遊的民眾發送細胞簡訊,提醒民眾注意,如果不能保持室外1公尺、室內1.5公尺的社交距離的話,就一定要戴上口罩以確保安全。

而上述發送的細胞簡訊,就類似各種提醒防災的國家級警報,這麼做的主要的目的就是:讓民眾及早掌握各種災防資訊。一般而言,臺灣政府發送的細胞廣播訊息,分成四種類型:國家級警報、緊急警報、警訊通知、每月測試用訊息,目前包括16個部會、政府機構,以及22個縣市政府,都擁有發送細胞簡訊的權限。

基本上,細胞廣播訊息發送的方式,是利用4G系統的細胞廣播服務功能,透過串接五大電信業者系統,可以快速、大量地針對特定區域民眾,進行全區發送,一旦警示訊息從發布機關送出後,民眾大約在4~10秒內,就可以收到訊息;但是,當對象離開該地點時,就無法接收訊息。

另一個大量發送警示的例子,則是流行疫情指揮中心公布磐石艦隊確診武漢肺炎官兵的個案活動足跡,並針對在90多處公共場所、停留15分鐘以上的民眾,發送21萬封「類細胞簡訊」。

事實上,這種類細胞簡訊和一般簡訊一樣,由電信業者找出曾在同一時間,和確診官兵停留地點的手機基地臺交換過訊號的手機號碼,進行類細胞簡訊的發送。如果當地的手機基地臺越密集,這種類細胞簡訊發送的精準度越高,而發送類細胞簡訊的好處是,可以精準掌握停留者的手機號碼,即便已經離開確診官兵的活動區域,當時停留在此地的人員,還是可以接到相關通知,而能提高警覺。

資安事件主動示警違反人性,善用CERT或ISAC主動分享資安情報

臺灣安永諮詢服務總經理張騰龍表示,企業面對資安事件往往不會主動告知,但可以透過鼓勵企業主動通報資安事件,搭配資安教育訓練、提高員工資安意識,提高整體資安防護水準。  (圖片來源/張騰龍)

臺科大資管系特聘教授吳宗成表示,細胞簡訊發送並不是針對特定高風險使用者,反而是針對部分區域的不特定當事人,因此,只有在法律授權下,相關權責單位在發生災難、緊急事故時,才能進行細胞簡訊的廣播。

若從發送細胞簡訊的防疫作為,來類比企業資安防駭作為,他說,除了像是上市櫃公司需遵循國家的規定,有任何重大訊息都必須對外公告外,從政府到企業面對各種資安事件或是遭駭時,企業資安公告通常是「被動」的,而且,也常是「被迫的」。

吳宗成認為,對企業而言,發送資安事件的通報,都需要經過查證,他建議可以善用各級ISAC(企業情資分享平臺)轉發情資,可查證資料正確之餘,同時,也可以找到相對應的解決辦法,以及避免受害的措施。

不過,臺灣安永諮詢服務總經理張騰龍指出,防疫因為和人人相關,主動發送細胞簡訊的作法,的確可以達到提醒和警示的效果;但若類比到企業防駭的角度,主動針對資安事件發送告警簡訊,通常只有業內人士會感興趣,一般民眾往往對於資安事件通報無感;甚至,因應個資法規範,如果企業或組織發生個資外洩事件,企業或組織必須主動通知當事人,但很多當事人也缺乏足夠的個資防護意識和素養。

張騰龍進一步解釋,疫情可以主動通知,但企業資安事件,因為涉及許多利害當事人,經常會影響企業是否公告或主動告知的意願。而且,企業資安通報或示警都必須從與大眾溝通的角度出發,避免因為錯誤的說明造成不必要的誤解。

事實上,各種資安事件爆發,通常都是企業或組織本身處理不好、出事、失控了,再加上就人的本性而言,通常不會想讓人知道自己沒有做好的事情,因此,不管是誰,當然不會想主動公告資安事件。

即便不強制企業主動通報公告資安事件,但人員往往是資安最脆弱的環節,他認為,可以積極透過員工資安教育訓練、提高資安意識。雖然政府目前不會強制企業主動公告資安事件,但可以善用國家、主管機關有SOC(資安監控中心)和ISAC(資安情資分享平臺),藉此鼓勵企業主動通報資安事件,提升整體資安防護水準。

風險主動預警,通知潛在受影響利害關係人

關於細胞簡訊的概念,該如何應用到企業資安防駭上呢?

KPMG顧問服務部執行副總經理謝昀澤認為,我們可從企業內、外部的事件告警與通報程序,來著手進行。過去企業資安通報多是被動接收使用者所發現的異常資訊,然後進行後續通報與處理;未來可以進一步調整為:將可疑的資安事件,主動通知潛在受影響的內部使用者,或外部客戶、供應商等,以防止資安事件擴大。

對此,國際電腦稽核協會(ISACA)資訊風險治理諮詢小組委員楊博裕認為,發送細胞簡訊是一種資訊通報、風險告知,透過即時分享資訊與網網路安全事件給利害關係人,以便分析影響程度,並研擬暨追蹤相關應變行動。

就像鑽石公主號的狀況,是由國家出面發送細胞簡訊告知民眾風險所在,但企業若面臨網路攻擊,很難由國家發送細胞簡訊告知。那麼,企業該怎麼做呢?公司如何保護員工以及供應商?他建議,可以透過CERT的電子郵件,或者是ISAC情資分享,主動發布相關資安資訊。

他舉例,當示威民眾路線影響員工上下班時,公司也可以主動通知員工在家上班(WFH),這就是一種風險主動通知和預警的作為;其他像是許多外商銀行都有一些網路防護中心的組織,會主動發送簡訊或電子郵件給利害關係人,如果有收到相關的威脅情資,都可以主動發送。

資誠智能風險管理諮詢公司執行董事張晉瑞認為,若以發送細胞簡訊來類比企業資安防駭的情況,那會是下列狀況:企業知道出現一個零時差漏洞後,會針對自己內部IT系統和環境,事先盤點是否有風險,再看後續如何因應或修補。他以2018年Apache Struts2的零時差漏洞為例,有些企業與組織的作法,就是先讓IT或資安人員知道風險所在,在修補程式還沒有釋出前,先不要把Apache伺服器暴露在網路上,確保安全,而等到修補程式釋出後,就可以主動修補。

這麼做的重點在於,面對風險時,IT要主動檢查是否有異常狀況,把訊息傳遞給所有管理者後,並檢視所有系統安全性,及早準備。

 更多相關報導  從防疫學防駭


Advertisement

更多 iThome相關內容