今年臺灣資安大會的主要口號是韌性決勝(Resilience Matters),正如總編輯吳其勳所言:資安的威脅已是常態,網路攻擊無所不在,今天無論我們防禦得多麼成功,都無法保證明天不會淪陷,因此,我們必須更重視企業組織永續發展的致勝關鍵:資安韌性,唯有韌性,得以決勝。

而在大會第二天下午,我們也舉辦了從防疫學防駭的座談會,當中也提及相關的議題。這場活動的與談人有資安主筆黃彥棻、資安主編羅正漢、中央研究院資訊科學研究院博士後研究員潘美連,以及我,希望基於iThome在7月製作的封面故事《從防疫學防駭》的內容來探討。

在座談的過程當中,潘美連提到一個論點相當值得省思,她認為防駭比防疫難,臺灣因為防疫有成,因此,基本上,經濟民生已恢復日常運作,雖然我們需配合政府推動的「防疫新生活運動」政策,僅須保持社交距離、勤洗手、佩戴口罩即可,享受日常、如常,但相較之下,資安並非如此,網路威脅攻擊事件層出不窮,所以,我們身處的狀態並不是「平時」,而是「戰時」,所採取的因應策略也必須符合當前的態勢。

另外,防駭必須做到「除惡務盡」,對於潛藏在企業內部的惡意程式與受駭電腦,都必須要找出來,實施必要的鑑識與還原程序,相當費工,更何況我們面對的並不是單一的嚴重威脅;但若要預防武漢肺炎病毒的大規模傳染,我們可以透過居家隔離、居家檢疫的方式,並不需要針對入境者進行普篩,就如同衛福部在8月6日發布的新聞稿所言:「即使有極少數無症狀者個案未於入境時被攔檢,經過14天居家檢疫,其傳染力已大幅降低或幾乎已無傳染力,於檢疫期滿後再自主健康管理7天,持續密切追蹤健康狀況,已可有效防堵社區傳播風險。」

究竟是防駭難?還是防疫難?8月19日彰化縣衛生局篩檢居家檢疫無症狀者的爭議事件,又掀起一波網路論戰,癥結點仍是中央與地方對於防疫處理程序與彼此立場的認定有落差,顯然在作業過程當中出現了不同層級單位彼此溝通的問題,而這類各執一詞的狀況無論是防疫或防駭,都在所難免,彼此之間如何約束、磨合、包容,達成共同目標,當然也考驗我們的「韌性」。

企業若要取得應變的韌性,在許多層面都要布局,就像近幾年來,在IT領域當中,韌性這個詞彙也經常被許多專家所提及。例如,IBM一直在推動業務持續營運管理(BCM)、雙主中心、兩地三中心的備援架構等議題,他們在2016年也買下一家資安事件回應業者Resilient Systems;BSI英國標準協會台灣分公司總經理蒲樹盛,也在許多場資安研討會發表相關演講,不斷呼籲企業關注組織韌性的議題。

事實上,企業IT韌性不只是確保IT服務的高可用性,也適用於資訊安全相關工作的推動,目的都是希望具備足夠的容錯(Fault Tolerance)能力,提供更高的可靠度(Reliability)與可用性(Availability)。

然而,就我目前的認知而言,IT層面的韌性,我們可運用各種IT資源備用/備援(redundancy)的機制來支撐,一旦發生故障,可由其他正在執行的系統或啟動備援系統來接手,雖然還是要釐清事故的根本原因,但以服務的持續運作為最主要考量,而這也跟OT環境資安營運要點很類似,一般而言,優先順序為可用性(Availability)、完整性(Integrity)、機密性(Confidentiality)。

若是資安層面的韌性,過去主要考量的是IT環境,優先順序為機密性、完整性、可用性,而隨著如今OT環境大舉連網,這兩種處理順序都需要一起考量,企業在管理這兩種環境時,則需要建立統一的管理制度,避免發生顧此失彼的局面,或是因各自為政而導致控管成本大增、難以負荷。

相關報導請見:臺灣資安大會直擊(上)資安將是臺灣新戰略產業

作者簡介


Advertisement

更多 iThome相關內容