<近期政策重點>
一、依資通安全責任等級分級辦法第3條規定,各機關應每2年提交自身、所屬、所管、所監督及所轄之資通安全管理法納管對象之資通安全責任等級,報主管機關核定(或備查)。本院前於109年11月30日函知各等級提交機關重新檢討現行資通安全責任等級之妥適性後,於110年2月5日前提報資通安全責任等級調查表送本院核定,府會及四院請於110年2月25日前提報備查。
二、近期某立法委員反應某公務機關國會聯絡人透過中國大陸廠牌智慧型手機提供國會資料予該辦公室,爰本院重申公務機關使用資通設備原則如下:
(一)公務用之資通設備不得使用中國大陸廠牌,且不得安裝非公務用軟體。
(二)個人資通設備不得處理公務事務,亦不得與公務環境介接。
(三)各機關應就已使用或採購之中國大陸廠牌資通訊設備列冊管理,且不得與公務環境介接,並儘速汰換。
<整體威脅趨勢>
事前聯防監控
本月政府領域資安聯防監控回傳之資安監控情資共97,988件資安監控單,近1年資安監控情資統計詳見圖1。本月資安監控情資之威脅種類前3名分別為尚需調查類(32%)、政策規則類(26%)及掃描刺探類(20%)。
圖1 資安聯防監控資安監控情資統計
事中通報應變
本月資安事件通報數量共46件,近1年資安事件通報統計詳見圖2。分析本月通報案件,因網通設備異常(如防火牆與路由器故障)或電力無預警中斷等設備問題,造成機關系統可用性衝擊之事件數量,占總通報數量的39.13%。
圖2 資安事件通報統計
事後資訊分享
某資安責任等級A級機關於109年11月通報其官方網站資料庫無法正常提供服務,經查發現原設定自動清除資料庫稽核紀錄之排程,因帳號密碼設定錯誤未能正確執行,導致資料庫稽核紀錄過載,硬碟儲存空間不足而影響資料庫運作,後續經人工刪除稽核紀錄後即恢復正常。
足資借鏡:相關系統變更或設定調整,應於上線前進行完整測試,確保上線後不影響系統正常運作。
<國內外重點資安新聞>
一、駭侵組織Cicada針對日本組織發動大規模攻擊活動
近期國外資安廠商揭露一起針對日本組織之大規模駭侵攻擊行動,該行動中主要利用近期名為Zerologon之高風險資安漏洞進行攻擊;該起攻擊行動可追溯自108年10月中旬至109年10月上旬。攻擊目標為該國汽車、製藥及機械製造業者,攻擊範圍除該國製造業之本土工廠及辦公室外,亦涵蓋其全球據點之分公司。
(資料來源:Symantec Blogs、Threatpost及ZDNet)
二、西班牙網路軟體開發商Prestige Software雲端伺服器配置錯誤,造成至少10萬名用戶機敏資料外洩
通路管理平臺Cloud Hospitality因其Amazon Web Services(AWS)S3儲存服務之雲端伺服器配置錯誤,造成訂房用戶之姓名、身分證字號、信用卡號碼等機敏資料外洩,影響範圍涉及全球至少10萬名飯店房客;另,由於該AWS S3雲端伺服器係由西班牙網路軟體開發商所開發之平臺,其受歐盟「通用資料保護規則」(GDPR)規範,爰可能因此面臨巨額罰款,而消費者可能遭遇身分竊盜等問題。
(資料來源:Website Planet、Security Boulevard及Infosecurity Magazine)
<近期重要資安會議及活動>
一、國家資通安全發展方案(110年至113年)草案座談會:
為確保我國能因應全球資安威脅風險與攻擊態勢,本院資安處已於109年11月4日至11月25日辦理7場次之國家資通安全發展方案(110年至113年)草案座談會,廣徵產業界、學研界及全國各機關之意見,據以修訂方案部分內容,後續本院資安處規劃於12月邀集各主責機關確認方案中各項推動措施及年度進程,並儘速公布方案。
二、資通安全管理法修法說明會:
為利各機關更妥適執行資安法相關法遵事項,本院資安處已規劃於109年11-12月辦理10場說明會,就資安法目前施行情形及整體修法重點作說明,並持續參考各機關建議調修內容進行滾動調整,各機關可至本院國家資通安全會報網站-資安法專區-資通安全管理法中,下載修正草案對照表(下載網址:https://nicst.ey.gov.tw/Page/D94EC6EDE9B10E15/5fd3e711-f935-449e-b71c-4aca19d6ffd5)。
<資通安全長及資訊主管異動情形>
資通安全長異動情形
一、公平交易委員會資安長自109年11月17日起,原由彭副主任委員紹瑾兼任,改派為辛主任秘書志中代理。
二、原住民族委員會自109年11月27日起,原由伊萬‧納威副主任委員兼任,改派為鍾興華副主任委員兼任。