<近期政策重點>
一、依資通安全管理法第12條規定,公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形,本院資安處已於110年2月24日函請各機關於3月2日至4月30日前,至管考系統完成109年資通安全維護計畫實施情形提報作業,請各機關配合辦理。
二、第六期國家資通安全發展方案(110年至113年)已於110年2月23日公布並自該日起實施,本期方案以打造堅韌安全之智慧國家為願景,搭配「成為亞太資安研訓樞紐」、「建構主動防禦基礎網路」、「公私協力共創網安環境」三大政策目標,並從「培植自主創研能量」、「提升關鍵設施韌性」、「主動抵禦潛在威脅」及「提升民間防護能量」四大推動策略著手,請相關機關依本方案權責分工配合辦理,共同提升我國資安防護量能。
三、建立資通系統弱點之主動發掘、通報及修補機制為前揭方案之重點工作項目,110年推動規劃為A級公務機關全數導入資安弱點通報機制(VANS),俾縮短資安漏洞發布及修補間之空窗期,進而降低被駭侵風險,請相關機關配合時程積極辦理。
<整體威脅趨勢>
事前聯防監控
本月蒐整政府機關之資安聯防情資共92,878件,統計近一年情資數量分布詳見圖1。經分析上述資安聯防情資,可明確辨識之威脅種類,第1名為入侵攻擊類(22%),主要針對網頁應用程式之攻擊行為;其次為掃描刺探類(18%),主要針對已知漏洞、遠端服務及密碼猜測之探測行為;以及政策規則類(8%)之違反機關資安規範之使用者行為。
圖1 資安聯防監控資安監控情資統計
事中通報應變
本月資安事件通報數量共61件,近一年資安事件通報統計詳見圖2。本月新增多個機關之資訊設備疑有鍵盤側錄惡意程式(keylogger)特徵連線,占總通報數量26.22%,請機關迅速查明事件發生根因,並加強同仁資安意識宣導。
圖2 資安事件通報統計
事後資訊分享
本月某機關之資通系統帳號密碼遭不當刊登於外部專案管理平台,經查發現為該系統委外廠商誤將該平台之檢視權限設定為公開,導致機關帳號密碼外洩;機關於發現時已立即要求同仁變更密碼,初步調查該帳號無異常登入紀錄。另,機關業已要求委外廠商加強員工資安教育訓練,同時要求業管單位加強督導。
足資借鏡:機關資訊人員或委外廠商可能因同時使用或管理多個資通系統,而設定相同帳號密碼或將密碼記錄於應用平台,建議重要資通系統可採多因子驗證方式或搭配其他資安防護機制(如限制來源IP等),強化身分鑑別管理。
<國內外重點資安新聞>
一、5國共同發表聯合網路安全建議
美國、英國、澳洲、紐西蘭及新加坡於2月24日共同發布聯合網路安全建議(Joint Cybersecurity Advisory),指出軟體供應商Accellion受駭事件已涉及政府機關與私人企業,範圍涵蓋醫療、法律、電信、金融及能源等領域;該聯合網路安全建議Accellion檔案傳輸服務(File Transfer Appliance)之用戶應隔離或暫停使用該服務,並更新至最新版本。
(資料來源:美國國土安全部官網及華爾街日報)
二、美國佛羅里達州淨水處理廠遭駭客入侵
美國佛羅里達州淨水處理廠內部電腦因使用微軟已停止支援之作業系統Windows 7、允許遠端使用桌面共享軟體TeamViewer、未安裝防火牆防護及共用密碼等不安全使用行為,導致外部駭客入侵,並試圖將水中氫氧化鈉濃度從正常之100 ppm調高至11,100 ppm,該淨水處理廠員工於發現後立即將其修正為正常值,並通報主管人員。
(資料來源:美國MASS官方網站、ZDNet及Reuters)
<近期重要資安會議及活動>
為強化國家關鍵基礎設施資通安全,本院資安處規劃於110年3月26日召開「110年度本院國家資通安全會報第1次臨時會議」,並將邀集各關鍵基礎設施領域之中央目的事業主管機關資通安全長與會,會中將就關鍵資通設備安全認驗證之監督管理經驗及相關配套作法進行分享及交流。
<資通安全長及資訊主管異動情形>
一、資通安全長異動情形:公平交易委員會資安長自110年2月1日起,原由辛志中主任秘書代理,改派為陳志民副主任委員兼任。
二、資訊主管異動情形:
(一)國立故宮博物院於110年2月3日設置「數位資訊室」,由謝俊科先生擔任主任。
(二)原子能委員會核能技術處處長自110年2月18日起,由李綺思處長擔任。