改善資安，政府採購與法令與時俱進

回顧今年10月的資安新聞，隨著國際上出現新的震盪，先是巴勒斯坦激進組織哈瑪斯（Hamas）開火，突然對以色列發動大規模的軍事攻擊，引發後續以色列展開強烈反擊，而在網路上也陸續傳出，有駭客組織聲援兩國表態參與發動網路攻擊的情形。

不僅如此，最近這一個多月來，我們看到科技大廠修補遭利用零時差漏洞的消息，呈現相當密集的情形，本期我們也專門介紹了這樣的態勢，當中亦顯現國家級駭客組織、商業間諜公司、勒索軟體組織挖掘零時差漏洞並用於攻擊行動的最新現況，以及涉及底層漏洞似乎變多的情形。

回顧國內近期重大網路攻擊事故與資安防護推動，有兩大議題最受我們關注，一是國內連鎖藥局下半年接連遭駭客攻擊的情況，一是我國政府資訊服務採購有新變革，將資安防護措施納入採購規範，做到資安入規。

近日，我們盤點這一個月的臺灣重大資安消息，發現有兩家上市櫃公司遭駭客攻擊。

首先，以丁丁藥局為營運主體的興櫃公司諾貝兒寶貝（諾貝兒），該公司在10月7日發布資安事件重大訊息，說明公司遭受駭客網路攻擊。

另一起事件，代理傳動、控制等自動化機電零組件的上市公司羅昇企業（羅昇），在10月27日亦發布資安事件重大訊息，說明該公司發生部分資訊系統遭受駭客網路攻擊。

以諾貝兒的事件而言，引起我們關注的是，雖然調查局指出現況依然是很多產業都有被攻擊的情況，但在今年下半，7月底，先是有大樹醫藥公告遭遇網路攻擊事件，最近10月初，又有丁丁連鎖藥局的諾貝兒寶貝公告遭遇網路攻擊事件，似乎連鎖藥局與醫療通路可能有被針對的情形，相關業者須多加留意。

關注資安事故的同時，今年臺灣資安防護推動也獲得幾個重要進展，首先是，最新政府資訊服務採購指引出爐。

行政院公共工程委員會（行政院工程會）先是在今年9月25日發布政府資服採購作業指引，後續，行政院在10月5日發布消息，說明通過「政府資訊服務採購革新－資安入規及採購指引」報告，並請各部會及各地方政府，落實執行本次資訊服務採購革新相關事項，同時，工程會也新提供懶人包說明這次資安入規及採購指引的重點。

簡單來說，這項改變之所以重要，不僅是資安入規，還有因為過去20年政府資訊服務採購的規範，長年來為機關與資服業者帶來太多爭議與亂象，甚至陷入惡性循環的情況，例如，對資訊系統建置時的資安規畫與契約履行造成極大的挑戰，也導致業界可能為了得標而必須大幅讓利甚至降低品質。

而我們在9月進行資安監控中心SOC的封面故事報導時，當時，也感受到資安服務業者面對公部門採購有很多話想說，像是招標機關常年採最低價決標，但廠商面臨技術服務需與時俱進的向上競爭壓力，在收費營收方面卻呈現持續往下的嚴峻挑戰，隨著政府資訊採購確定有新變革，才讓他們認為市場有了轉機。

無論如何，現在有了好的轉變，雖然這次革新可能還不到滿分完善的地步，但在專家眼中，至少可以讓政府資訊服務採購有正向積極的轉變，比方說，從以往的59分不及格，進步到80分。而我們也期望，新的變革能夠加速提升臺灣機關資安防護能力，並帶動臺灣資服資安業者的產業競爭力。

另一個突破會是資通安全管理法的修法，而在1155期封面故事中，因應相關法令內容即將調整，因此我們特別針對這次修法內容帶來的改變，以及民眾意見回饋，與大家一起探討。

 相關報導