半個月前,臺北市議員許家蓓在質詢臺北市政府時,揭露北市府資安事件的嚴重性,當時提到今年已發生18起,且7月就多達5起,她這是在8月28日為質詢所調閱資料的發現,當時不少國內媒體也引述了議員提供的資料,報導北市府資通安全事件創新高,但資安事件數變多,意謂著市府飽受威脅嗎?

到底今年這些攻擊的嚴重性如何?成為外界關注的焦點。而且,只有北市府呈現如此趨勢嗎?

資安事件數量增並非只有負面意義

許家蓓之所提出質詢,是因為調查局資安工作站在8月下旬發出警示,公布政府組織遭受中國駭客組織透過委外資訊服務商入侵,因此特別向臺北市資訊局調閱資安事件相關資料。而根據這些資料,她也揭露北市府歷年資安事件數,以2020年度(到7月31日止)而言,資安事件達18件,而前五年的數據是2019年8件、2018年10件、2017年7件,以及2016年與2015年同為5件。相較之下,今年數量確實是明顯增加。

這次的揭露,讓外界注意到北市府資安事件增加的現況,可惜的是,不論是議員或府方,都未能進一步分析整體態勢。例如,這次揭露的內容僅提到7月密集發生5起事件,但並未說明18起事件的嚴重等級,以及有無三級以上的事件。

對此,我們根據這5起事件整理,顯示發現通報機關包括北市府環境保護局、交通局與交通管制工程處。其中,環保局有1起1級事件,交通局有2起1級事件,而交通管制工程處的1級事件與2級事件各一,其中2級事件是北市府資訊局通知偵測到有挖礦程式,處理後已完成損害控制。

此外,這裡還有一個問題,那就是,7個月18起事件真的就算頻繁嗎?例如,去年底iThome進行的企業年度資安大調查,有2成1的企業一年遭遇超過50次資安事件,此外,資安業者常提到企業往往是被攻擊而不自知,因此還有資安事件可能沒被偵測到的問題存在,另外,隨著資安法的施行,近一年來,行政院資安處正持續強調通報的重要性,是否也與此有關?

對於上述這些問題,我們向臺北市資訊局詢問,在他們的回應中有了更清楚的說明。資訊局表示,在這18筆事件中,有9成是1級資安事件,沒有嚴重的3級資安事件,當中15筆為資訊局主動偵測並通報,3筆為聯防體系通報。

對於今年資安事件數高於近5年的現象,資訊局指出,除了攻擊數變多,他們的主動偵測率也提高。他們說明,由於中央資安前瞻預算挹注,北市府除了部署端點防護程式,也擴大資安情資蒐集管道來源,因此,在攻擊潛藏初期,即發現異常並加以阻斷。

對於這樣的態勢,他們的看法是,根據近期調查局等情資顯示,確實因政治情勢而使得政府受攻擊事件均普遍增加,但他們對於資安威脅,也更能於先期進行預警防護。

另外,我們也詢問許家蓓議員辦公室,是否會聯合六都議員共同調閱相同資料,以了解國內整體現況,但對方暫未回應。

綜合來看,外界對於這次事件多聚焦在資安事件大增,但以目前而言,今年並未有嚴重的三級事件,不過換個角度來看,對於現在機關單位能偵測到更多惡意行為,資安防護進步,我們認為這也是一件好事,而不是遭受入侵卻無法知道,等到問題變嚴重則為時已晚。而這次臺北市的狀況被揭露,也不失為一個提醒,給其他六都及縣市機關也應提升資安防護的偵測能力,有助於找出更多潛藏威脅與風險。

委外供應商的安全問題成焦點,北市資訊局建議各機關需對委外服務商提出五大管理要求

另一方面,由於調查局先前也公布中國駭客組織透過政府委外資訊服務商入侵的現況,許家蓓也對此表達關切。根據許家蓓向臺北市資訊局調閱的資料,顯示北市委外供應商多達299家,並有12個系統及網站機房由廠商代管或託管,因此認為北市需更加注意防護。

由於資訊委外政府早已施行多年,我們也好奇委外供應商家數變化的趨勢,不過北市府資訊局的回覆是沒有這方面的統計,因此我們也無法得知供應商有減少還是增加。

而對於供應商在資安上的監管,有那些挑戰要面對,是否有相關計畫,資訊局給出了答覆,他們認為,委外廠商在資訊安全資源和人力配置上,仍有很大的進步空間,且駭客攻擊手法已改為透過委外廠商,輾轉攻擊政府機關,他們現在也配合「資通安全管理法施行細則」第四條對廠商稽核,要求廠商強化資安防護能量,並要求各機關委外辦理資訊服務應納入資安需求規範。

同時,北市府資訊局也提供了他們的因應措施,是建議市府各機關單位對委外廠商提出五大管理要求,包括遠端連線、廠商帳號密碼盤點、登入異常監控,以及外部稽核與供應商通報。

例如,在遠端連線方面,原則上,他們是禁止廠商遠端連線管理伺服器,但如有遠端管理需求,也應以VPN連線,一人一帳號,並採取多因子認證,且連線範圍僅限廠商管理的主機,同時,也建議採用跳板主機方式進行遠端管理,降低重要主機可能攻擊範圍。

第二是對於廠商帳號密碼應定期盤點,機關應以最小權限與最低開放時間為原則,如已無使用需求或人員異動,應要刪除;第三,對於廠商連線與登入的相關記錄,也應納入監控,有異常行為應停用帳號並進行調查。

第四要求是定期對委外廠商進行外部稽核;最後,則是要求廠商內部受駭時,應主動通知機關進行損害控制或預防措施,以避免受到波及。


Advertisement

更多 iThome相關內容