政府社交工程演練今年預計由各機關申請自辦

往年，資通安全會報為了避免政府部門員工遭到社交網路郵件的攻擊，都會由負責行政院資訊安全的技術服務中心，於每年的4月和10月前後，分別進行一次自辦和統一辦理的社交工程演練。但從今年開始，將改由各機關向資通安全會報申請自辦社交工程演練，經核備後便可自辦。

行政院科技顧問組資安小組主任陳如芬表示，根據行政院國家資通安全會報於2007年頒定的「防範惡意電子郵件社交工程施行方案」，各主管機關每年應至少辦理2次電子郵件社交工程演練。一般而言，政府每年統一在10月執行社交工程演練時，大約在4月時，各機關也都會自行舉辦一次相關的社交工程演練。

為了讓政府資安資源獲得更有效利用，陳如芬說，資通安全會報從去年各部會演練的成績發現，多數機關已經可以達到資通安全會報規定的指標，對於社交工程信件警覺性也大幅提升。因此，從今年開始，由各機關向資通安全會報提出申請核准後，各機關視情況調整為每年自辦1次演練。

但陳如芬強調，資通安全會報會根據技服中心收集的通報資料，以及各機關提報的社交演練執行狀況，進一步判斷，未來是否需要再由資通安全會報統一辦理社交工程演練，並不會因為同意由各機關自辦演練後，而不再關切各機關的相關演練狀況。

有資安顧問認為，社交工程演練如果達到一定的成熟度，技服中心可以調整資源比例，將重心放在其他的資安議題上面。但也有資安廠商指出，臺灣政府部門經常遭受到針對式攻擊（Target Attack），培養政府部門人員對社交工程信件的警覺性是非常必要的。若資通安全會報減少社交工程演練，將可能會提高政府部門人員發生社交工程信件釣魚的機會。文⊙黃彥棻