▎ 從行政院國發基金創業投資電腦系統遭駭事件,看台灣資安現況 🧐
「資安即國安,切莫淪為口號!」
有鑑於近年來國內外資安事件頻傳,虹安於國會問政也經常關心我國資安政策與規劃。甫於上個月,行政院國家發展基金的創業投資電腦系統遭疑似來自中國大陸的駭客惡意入侵,顯現出政府機關的資安意識與作為仍然相當薄弱,所謂的「資安國家隊」似乎僅淪於口號而並非具有實質作用?
💡前情提要💡
6月底,行政院國家發展基金的創業投資電腦系統突然無法開機,近日終於釐清原因,該單位的電腦遭疑似來自中國大陸駭客惡意入侵,導致系統主機遭植入病毒程式,該單位主要負責國內產業新創與公司轉型業務,此事件已通報為三級資安事件,影響層面涉及投資企業與融資業務、個人資料恐已外洩...等,屬於極度嚴重的資安事件。
虹安曾多次公開呼籲,政府或企業要提高資安意識,且應定期執行模擬演練攻擊;政府也應該儘速盤點相關政策,加速產官學研資安防護能力。比如說定期執行紅隊演練攻擊(模擬駭客入侵,對各企業端點進行攻擊)的服務,藉此找出資安防護的弱點加以改進。全世界皆面臨著資訊戰以及日益猖獗的惡意竊盜資料的網路攻擊,近年更有許多企業遭到駭客組織的「勒索軟體即服務」(RaaS)新興手法攻擊,公私部門之資安意識、能力和人才提升,勢必得馬上佈建、徹底執行。
🎯🎯🎯國發基金的創業投資電腦系統遭駭,問題可能出在哪?
① 重要主機資訊系統並沒有資安團隊或資安人員進行主動積極防禦,突顯資安人才短缺問題造成的影響仍持續擴大。
② 資訊系統委外開發及維運,顯然並沒有進階資安防護的要求,造成甲乙雙方置系統安全不顧。建議應檢視所有目前政府重要系統委外營運之合約,無論新舊,對於資安的要求是否符合規範。
③ 國發基金系統既然委外由兆豐銀行開發及維運,此事件是否表示兆豐銀行在資訊安全管理上有所疏漏,不知是否有檢視兆豐銀行整體資安防護措施?雖然在金管會要求下銀行都有專屬的資安團隊及應該做好的防護,不過今天的事件,是否代表著兆豐在資安維運上存在某種瑕疵?又,這類的事件是否會在銀行系統中發生?
如果今天遭竊的不是所謂四五年前的舊資料,而是所有納稅人的血汗錢以及國庫資金?後果不堪設想。
所以,當我們發現國發基金委託外部建置的系統至今毫無有效的資安防護措施、一遭攻擊就破功,著實令人震驚!此舉形同開大門邀請別人來攻擊,#門打開嘸人顧厝,這樣的疏漏相當嚴重也不可容忍。試問數以百計政府機關單位中,是否可能還有類似情況?人民、企業、甚至是國家該如何有保障?
剛出爐的《109年國家資通安全情勢報告》才寫道:109政府單位資安稽核重點是以「行政院所屬部會行總處署」為主,隸屬於行政院的國發基金系統竟然仍存在著資安薄弱的問題!
🔊 虹安再度呼籲,行政院應該要針對所有政府機關與國營事業做 #資安總體檢,找出系統弱點漏洞,否則以台灣政府單位每年遭受2-4000萬次網路攻擊的頻率(2018年公開資料),政府重要機密與民眾個人資料如何能有效保障安全,實在令人高度憂心!
「資安國家隊」的推薦目錄:
資安國家隊 在 CNEWS 匯流新聞網 Facebook 的最讚貼文
勒索軟體攻擊的氾濫,凸顯出我國企業資安的長期問題🚨
.
#APPLE #勒索軟體 #高虹安
.
#CNEWS匯流新聞網 按個讚!分享好文章!
★更多新聞看這裡:https://cnews.com.tw/
資安國家隊 在 高虹安 Facebook 的最讚貼文
「勒索軟體駭全台,又傳大企業受害,我國資安拉警報!」記者會
今早美國網路媒體Bleepingcomputer率先披露(bit.ly/3xejmGi),一群使用勒索軟體Revil的駭客試圖勒索Apple要求其買回產品藍圖,更涉嫌從Apple筆電製造商廣達電腦的網路中竊取大量數據資料,並要求支付天價贖金。
政府既已號稱成立「資安國家隊」,就應該盡快提出包括應對勒索軟體在內的資安解決方案,協助科技產業加強與整合資安防護資源,共同發展最適當的防禦因應措施,以保護我國科技產業與全民的資訊安全不受勒索威脅!
資安國家隊 在 資安院揭牌蔡英文:打造更高層級資安國家隊|#鏡新聞 的推薦與評價
資安 防護意識升高!今天(10日)上午總統蔡英文親自為 國家 級行政法人「資通安全研究院」揭牌,提及近日 資安 外洩事件頻傳,總統說政府這週已開會, ... ... <看更多>
資安國家隊 在 個資洩光光?!蔡政府打造" 資安國家隊" 藍軍酸 - YouTube 的推薦與評價
數位發展部轄下的" 國家 資通安全研究院",昨天(10日)正式揭牌,蔡總統強調" 資安 就是國安",但盤點近日公私部門,個資外洩頻傳,藍軍痛批超諷刺, ... ... <看更多>
資安國家隊 在 [新聞] 蔡英文喊「資安即國安」 藍副發言人轟: - 看板Gossiping 的推薦與評價
ETtoday
蔡英文喊「資安即國安」 藍副發言人轟:個資早在網路上「裸奔」
記者詹宜庭/台北報導
總統蔡英文與數發部長唐鳳10日為國家資通安全研究院揭牌,並稱要打造最強資安國家隊
。國民黨副發言人呂謦煒今日質疑,人民的個資早在網路上「裸奔」了,蔡英文卻說要在
兩年內輔導政府機關導入三重驗證機制,那麼民進黨政府過去幾年在幹嘛?資安與個資防
護還要等兩年?
呂謦煒痛批,新機構也被質疑新瓶裝舊酒,數位部擁有兩百億高預算,還花七千萬租昂貴
地段辦公室,結果卻眼睜睜看著人民個資遭駭客盜取,資安防護沒半步?蔡英文說「資安
就是持續精進的風險管理」,結果只有風險、沒有管理?
呂謦煒指出,近期租車公司、華航等個資外洩事件頻傳,除民間機構外,更有消息傳出健
保資料外流、戶政資料庫遭駭。對於民間與公家單位的資安風險,數位部不僅未做到事前
監督或管理,事後更只會推責。如果未能協助公務機關與提供關鍵基礎設施,那麼要兩百
億預算的數位部又有何用?數位部從公文系統、檔案管理、官網等通通外包,難道連資安
防護都要外包嗎?又或者數位部的職責其實是推廣麵線訂餐系統?
呂謦煒批評,蔡英文和唐鳳今為資安院揭牌,聲稱是強化國家的數位韌性及資安防護體系
,但資安院其實是舊有的行政院國家資通安全會報技術服務中心,與國家實驗研究院資安
卓越中心合併改制而成。現在不僅行政院有「資安會報」、數位部有「資安署」,現在又
有「資安院」,為什麼有了這麼多資安單位,卻還是管不好人民的個資與政府的資通安全
?這麼多機構是不是疊床架屋、政治酬庸?
呂謦煒質疑,資安院雖已建立官網,但是所有「公開資訊」全部點不進去,沒有法規、沒
有計畫、沒有預決算書,把自己搞得像黑機關一樣;在「資安訊息及聯防」下的「漏洞新
聞」區,沒有國內個資外洩與資安防護漏洞新聞,只是隨意貼上每個月微軟公司的安全性
更新。
呂謦煒表示,早在2018年,因《個資法》規範個資防護涉及多個主管機關,橫向聯繫不足
,因此國發會設置「個人資料保護專案辦公室」統籌各主管機關個資保護事宜。然而該辦
公室效能不佳,成立近5年來,官網「最新消息」區竟然只有48則消息,近半年更毫無更
新,讓人質疑民進黨政府是不是螺絲鬆了?
呂謦煒透露,過去蔡政府曾成立效能不彰的「少子化辦公室」遭輿論猛譏,難道「資安即
國安」就像她所謂「少子化是國安問題」一樣,只是說說而已?蔡政府看待國安風險,竟
是如此輕描淡寫,難怪連國安單位高層都會惹出風紀事件。
https://www.ettoday.net/news/20230210/2437833.htm
備註:最強資安國家隊 笑死
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.162.189.7 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1676009384.A.62E.html
... <看更多>