近年來,國際間倡議數位韌性(Resilience)趨勢。在我國資通安全管理法(資安法)明年1月1日即將實施之際,藉由本文分享三點目前的業界觀察:
資安不只是國安
當政府喊出「資安即國安」時,是否資訊安全僅是政府的事?
除了公務機關、國營事業與財團法人,資安法的對象涵蓋提供關鍵基礎設施(Critical Infrastructure,簡稱CI),這也是特定產業須遵循的法令。在行政院尚未公告CI名單之前,業者大多採取觀望的態度。除主管機關要求或少數自身重視的業者,普遍缺乏設置資安專責單位與專責主管,更別提及有待強化與整合的風險評估與應變計畫。
資安是極複雜、極具挑戰的課題。駭客技術與時俱進,資訊部門仍以「銅牆鐵壁」的防禦思維,很難因應駭客「木馬屠城」的戰術。有些集團IT系統隨著事業群發展而分散管理,缺乏掌握整體性的全貌。根據過往資料外洩的記錄,超過四成的資安事件和二至四年之前系統漏洞有關。尤其是製造業為主的營運科技(Operation Technology),內建系統可溯及Windows XP。一旦營運科技上線之後,多半不願意進行修補程式(Patch)更新,以免影響產線的生產良率效能。另一個現實的挑戰,在於老舊的資訊系統(Legacy)多半停止提供修補程式更新服務。倘若這些Legacy系統仍在堪用階段,資訊部門很難大刀闊斧更換全公司的系統。另一方面,公司負責風險管理的風險管理部門、工安衛部門或保險單位並不熟悉資訊系統,很難規劃資安所須的沙盤演練、緊急應變資源,甚至安排保險保障。
今年在某跨國知名企業面臨重整之際,嚴重的資安事件更讓他們的營運雪上加霜。該董事長說,他們的事件打破航空業個資外洩的歷史紀錄,成為影響公司存活的重大危機。因此,資安不只是國安,還是業者存活的競爭力。
資安也是工安
某次和客戶資訊部門討論資安事件的損失。他提到,不像是天然災害或工安意外,資安事件很難量化非實體資產的損失。在大「智慧」應用的帶動下,資安也跨足安全領域。以目前隨處可見網路攝影機,其系統的簡易密碼與安全漏洞常被人輕忽。除監控影像可能流落駭客之手,駭客也串連攝影機進行大規模DDoS癱瘓攻擊。就連智慧型車輛也不例外。三年前,研究者披露車用影音娛樂系統的漏洞,可透過網路遠端控制方向盤與煞車。此事影響全球上百萬同級車輛。在漏洞揭發後三個月,兩成不到車主進行修補程式更新。這反映出使用者的真實行為:即便是資安漏洞可能會影響行車安全,但在缺乏誘因或強制性功能(如:未更新Patch就無法發動車輛)之下,用戶仍缺乏更新Patch的行動力,行車安全的漏洞依舊存在。
上述的議題為筆者在日前中研院主辦「自駕車發展應用與法律規範」工作坊分享的觀念。在會中,自駕車軟體業者坦承軟體設計未考慮到「電車難題」(Trolley Problem):如果車子設備故障快要撞到人,到底車內軟體如何進行價值判斷?是否自駕車選擇撞倒老人或小孩?女性或男性?一群人或一個人?此外,某位風險管理客戶在集團會議中觀察到,集團董事長討論事業總經理的風險管理時,該總經理回答「把業務經營好,就沒有風險」。這凸顯高階主管普遍缺乏風險管理意識,非要等到面對法律與保險議題時才會認真思考。因應物聯網的應用趨勢,資安與工安界限不再涇渭分明,而是要整體性的全盤思考。
資安讓你心安
資安事件來得急,退得慢。
我們和駭客處於不對等的競爭,像是「敵暗我明」的狀態。根據趨勢科技的觀察,駭客平均潛伏在組織內超過百日,充分掌握IT與高階主管的帳號密碼,也就是他們「比IT人更IT」。一旦爆發資安事件,可疑行為與帳號的清查可長達數周甚至數月之久。在面對數日內召開記者會的壓力,高階主管如何避免處理不當而引發的「蝴蝶效應」呢?
一旦防禦性的設備失效或失靈,隨即啟動資安減損與移轉資源。在過去二十年間,資安保險為國際上處理重大事件的慣例。除了事故理賠之外,資安保險也會引介外部專家與團隊資源之協助,如:保險、鑑定、復原、公關、律師等。外部資源引介需在事前溝通,如:教育訓練、測試或演練,以避免客戶在緊急應變時無所適從。藉由最佳化的資源配置,高階主管每晚可以睡好眠,不再半夜被緊急電話驚醒。
資安就像是馬拉松賽跑,這是與隱形駭客的耐力賽。除了技術之外,全面性資安管理涵蓋風險評估、應變計畫,以及稽核、通報與演練程序等。一旦出現緊急突發事件,事後應變是百米衝刺賽。在分秒必爭的壓力之下,公司啟動緊急應變小組,立即與外部專業團隊一一對接。這就是數位韌性最佳實務的第一步,數位應變力。