【小心受駭】5大關鍵要注意 免受「駭」者

1522
出版時間:2018/07/30 17:35
KPMG安侯建業數位科技安全負責人、執行副總謝昀澤。KPMG提供
KPMG安侯建業數位科技安全負責人、執行副總謝昀澤。KPMG提供

針對先前有4分之1的新加坡國民健康醫療個資遭駭客竊取,KPMG數位科技安全服務負責人謝昀澤表示,依據與新加坡國家網路安全局(CSA)實際的互動交流經驗,新加坡有高度資訊風險意識,無論在網路安全的法律、人力、財力投入都堪為模範的國家,卻也發生大規模的關鍵基礎設施攻擊,及國民個資大規模外洩的事故,那其他國家更應擔心。

而越南政府的電腦緊急處理小組近日針對越南國內政府、電力、金融、運輸等重要關鍵基礎設施 也發佈嚴重警告,原因為越南上述產業面臨高度針對性的深度網路攻擊。

在我國的部分,目前已通過「資通安全管理法」,作為政府與關鍵基礎設施產業的資安落實依歸外,KPMG資安實驗室主管林大馗也針對我國重大的油、水、電,與金融、醫療等機關,提出預警。他認為,只要出現以下5大特徵的關鍵基礎設施業者,無論公民營,都有可能成為下一個受駭者。

第一,未落實管理與派送系統,包括微軟網域管理系統、防毒中控台等的網路存取、帳號管理控制與安全檢測。

其次,未落實外點人員作業用電腦安全防護,而因資訊部門遠端作業,造成高權限帳號密碼外洩。

第三為未佈建從點、線、面的防禦縱深。若駭客從外點進入,未將損害範圍限縮於該外點,因少數外點遭駭,進而影響到關鍵系統。

第四為未盤查「作業必要出入口」,或企業為維修方便而建立不為人知的「維護管道」;以及未透過已發生的資安事故,模擬驗測關鍵系統現有安控程度。

謝昀澤也提醒,對我國的政府機關與關鍵基礎設施產業而言,核心營運的系統,包含公文系統之於政府、醫療系統之於醫院、ATM系統之於銀行等,固然是資安防守的重中之重,但也不要忽略社群媒體(如Line、Facebook)在管理流程中,所隱含的國家機密與機敏個資傳遞者的重要性。

因社群軟體在關鍵基礎設施的實際運作中,已經不是只扮演「社群工具」的角色了,謝昀澤表示,日常指揮通聯、傳遞重要資訊等,可能都要仰賴它們,應該已經具備「關鍵通訊設施」的地位,但這些系統多數是外商,系統安全、資料傳輸管道,是政府或企業很難直接掌握。

謝昀澤表示,所有對於關鍵基礎設施營運有重大衝擊的系統、工具或流程,都應該有應變計畫與演練過程,萬一風險發生時,才能將損害降到最低。(劉懿慧/台北報導)



搶當《好蘋友》壹會員
快註冊免收費!不註冊會後悔!
快點我註冊→https://tw.adai.ly/Ml924UpCSU

關鍵字

KPMG

下載「台灣蘋果日報APP


有話要說 投稿「即時論壇」
更多

《最新》

新聞