臺灣號稱資訊大國,但在近來幾次的全球大型資安事件中,臺灣的資安危機處理機制看來是睡著了。

去年10月,惡名昭彰、令人聞風色變的勒索軟體──CryptoLocker,在國外迅速散播開來,許多人的電腦檔案都被這個勒索軟體以最高等級1024位元的加密技術給加密鎖死,如果不匯款給駭客,取得解密的鑰匙,那麼這些被綁架的檔案就幾乎是永遠不見天日了。

這起資安事件在國外傳開後,沒幾天就傳到了臺灣,受害事件陸續浮現。有的公司發生多臺員工電腦被綁架,與客戶往來的工作檔案全部被加密鎖死了,不僅業務運作被迫停止,還要掙扎是否匯款給駭客;有的人則是多年珍藏的生活照片檔案全都被加密,人生記憶剎時缺了一角。

此一囂張手法造成幾乎是致命性的破壞力,令人聞風喪膽,當我們一聽到這個消息,立即以大篇幅連續的報導,提醒大家多加留意,以免掉入無可挽回的陷阱。當時許多國家的資安危機處理中心也紛紛發出資安警告通報,像是美國電腦應變中心US-CERT,就迅速公布該事件的分析,讓民眾了解事件的嚴重性,並提供民眾自保之道。

不只美國的US-CERT這麼做, 我們隔鄰的香港,HK-CERT也在第一時間公布CryptoLocker資安事件通報,然而,當我們打開臺灣TW-CERT(臺灣電腦網路危機處理暨協調中心)的網站,卻看不到一絲的訊息,宛如這件事沒在臺灣發生過。

這個禮拜,比CryptoLocker更加撼動資安界的OpenSSL漏洞──Heartbleed,在4月8日被揭露,駭客利用這個漏洞可輕易取得帳號、密碼、信用卡號等等重要的資料,而且網站管理者與使用者可能無法察覺。

SSL是現今網站安全最重要的加密技術,所有網站為了保護通訊安全皆採取SSL加密,像是我們普遍使用的線上購物、網路銀行、電子郵件、社群網站等網路服務皆是,一旦大家所仰賴的SSL加密出現漏洞,無疑是網路安全交易的崩壞。

根據NetCraft預估,全球將近50萬臺網頁伺服器都存在Heartbleed這個OpenSSL的漏洞,我們平常使用的網站都有可能潛藏著Heartbleed風險。事實上,Google、Yahoo、Facebook這些大型網站都在近日緊急修補這個漏洞,可見Heartbleed問題的衝擊之大。

這幾天全球媒體拚命報導Heartbleed的嚴重性,iThome也做一個系列追踨報導(OpenSSL Heartbleed漏洞危機特別報導),許多國家的資安危機應變中心也紛紛發出緊急通報,但是,我再次發現TWCERT網站毫無動靜,另一個,國家電腦事件處理中心(TWNCERT)網站也沒有任何Heartbleed的訊息,最後只有在政府網路危機處理中心(GSNCERT)找到一則OpenSSL Heartbleed漏洞的資安通報。

比較一下我們的鄰國,日本的JPCERT、韓國的KRCERT、香港的HKCERT、中國的CNCERT、新加坡的SingCERT、馬來西亞的MyCERT、泰國的ThaiCERT,全都已經發布OpenSSL Heartbleed漏洞的資安警告,對其國民提供即時的警訊。

其實,TWCERT以前並不是這樣的,過去他們在資安事件的通報與示警上,曾經做得很好。TWCERT是由中山大學的教授發起成立,他們致力於改善臺灣的資安環境,但是經費逐年短缺,在人力物力不足的情況下,資安訊息通報作業不再即時,變成是每月固定更新了。在當今網路安全瞬息萬變的時代,每月固定更新顯然是緩不濟急。

究其根本,TWCERT今日的處境,反應了政府對資訊安全的重視度。面對如此嚴重的網路安全威脅,關係到每個人、每個企業的安全問題,許多國家都在第一時間對國人公布訊息,然而臺灣卻像是活在另一個世界。如果連這樣簡單的資安危機公告都沒做好,要怎麼讓人民相信政府有為國家安全與資訊安全做好把關了呢?

作者簡介


Advertisement

更多 iThome相關內容