行政院資通安全辦公室主任蕭秀琴表示,今年上半年駭客鎖定行政院共用性系統,作為主要攻擊標的。

圖片來源: 

臺灣趨勢科技

行政院資通安全辦公室主任蕭秀琴今(21)日參加資安公司臺灣趨勢科技的記者會時表示,駭客鎖定行政院攻擊標的和以往不同,首見以政府機關部門的共用性系統,例如電子公文系統、財會和行政系統等作為攻擊標的。

蕭秀琴表示,行政院資安會報今年上半年以資安人才培育和資安等級調整為主要工作內容,資安事件因為有季節性因素,整體統計會以年度為主,但若相較去年同期月份所發生的資安事件,數量差不多。

政府部門去年一整年大約通報300多起資安事件,今年上半年資安事件通報數量和去年同期相比差異不大,但她表示,目前並沒有發生重大的3級或4級的資安事件通報,因為還有下半年,尚不敢斷言是否有改善。

不過,若分析上半年發生的資安事件,蕭秀琴指出,駭客主要的攻擊手法以攻擊關鍵基礎建設(CIP)和關鍵資訊基礎建設(CIIP)為主,這也和一些國際資安公司提供的資安趨勢相似。

但這其中,行政院資安會報也發現一個特殊的現象,她說:「現在有駭客鎖定由政府自行開發、各部會都必須使用的共用性系統為攻擊目標,包括電子公文系統、共用財會和行政系統等。」因為政府這些共用性系統有許多部會都會採用,只要能夠找到其中一個系統弱點,便有可能藉此系統弱點入侵其他各個部會,是一種投資報酬率高的攻擊行為。

為了降低這類政府共用性系統一個環節有漏洞,便會危害其他部會所帶來的資安風險,蕭秀琴表示,也會在下半年抽樣20個行政院二級機關、過往有嚴重資安風險事件機關和被高度鎖定的機關,進行一年一度的資安稽核與實兵演練。她說:「今年更特別鎖定共用性系統作為實兵演練的攻擊標的,希望藉此提升部會機關的資安意識和因應資安威脅的能力。」

她坦言,政府機關面對資安問題時仍舊面臨缺乏資源的情況,沒人沒錢更是常態,但為了讓機關願意主動通報資安事件,也對資安會報有足夠的信任,並不會貿然以資安稽核和實兵演練的成績作為懲處的藉口,「怎麼從這個資安稽核和實兵演練過程中,找到政府部門共通面臨的資安問題,並有助於政府資安政策的制定,並協助受駭部門有足夠的時間改善,才是這個稽核演練的主要目的。」蕭秀琴說道。

此外,蕭秀琴表示,各機關擇期在每年4月底和9月底進行社交工程演練,目前各機關的演練成績也陸續通報到資安會報,相關成績也將作為協助各機關部會改善資安現況的參考。


Advertisement

更多 iThome相關內容