2018-机关资安通报现况大公开，6起3级事件最严重

对于国内资安通报制度的建立发展，在近期台湾通报资安应变年会上，行政院资通安全处处长简宏伟强调，“如果没有通报，什么事都不知道，在通报后，知道了就容易处理，也就能损害控制。”同时，他也特别公布-机关通报现况，并说明相关机制该如何有效运作。

-机关资安通报3大严重事件类型，以资料外泄最多

关于国内的资安通报现况，首先，简宏伟公布去年度-机关资安事件通报的统计，在2018年度，共有262件资安事件通报，其中146件是-机关主动侦测发现通报，另有116件，是-机关接获资安警讯通告所进行的通报案件。若以严重等级而言，最严重的4级事件为零，3级事件有6件，其余2级事件43件、1级事件213件。

对于资安事件分级，由于资通安全管理法今年初已施行，因此，简宏伟先说明了相关变化。他表示，过去对于-机关的资安防护，都是从行政命令的角度，而在去年通过资安管理法后，所有资安相关防护措施、通报机制、责任等级、情资分享，甚至连公务人员奖惩，全部有法律的依据。

而且，关键基础设施的纳入也很重要，因为，其中也包含了属于民间的企业，所以，相关的法规，就必须要有清楚的限制与定义，透过这样的方式，才能让各机关的资安防护，能够更上轨道。

行政院资通安全处近日公布2018年-机关资安事件通报现况，资安处处长简宏伟表示，去年共有262件资安事件通报，其中最严重的事件有6起，均属于3级事件，主要是民众个资外泄、资讯设备遭植入勒索病毒与系统中断等。（摄影／罗正汉）

关于-资安事件遭遇的事件类型上，以去年而言，主要是非法入侵、网页攻击为主，而在重大资安事件方面，简宏伟进一步说明。在这6个3级事件中，主要可画分为三大类型，包括机敏资料外泄（个资外泄）、核心业务系统或资料遭严重窜改（资讯设备遭植入勒索病毒），以及核心业务运作遭影响或系统停顿，无法于可容忍中断时间内回复正常运作。其中以资料外泄类型为主，比例占50%。

若将时间拉长来看，在2015到2018年间，-机关资安事件的主要发生原因，根据资安处观察，由外部主动恶意入侵的比例其实算少，最常发生的问题是网站设计不当、应用程序漏洞、弱密码等。简宏伟指出，这与-机关委外问题有关，因为很多验收只看功能面，他们未来将积极处理。

另外，若以去年主要的-资安事件来看，他们也观察到一些攻击手法变化，例如，从利用网页漏洞入侵-机关，到以多种网站的框架或服务器弱点攻击，与寄送大规模社交工程恶意电子邮件，近期骇客更是改为在-机关安装VPN套件后，窃取资料回传。

关于近年来-机关资安事件主要发生原因，行政院资通安全处处长简宏伟指出，最常见的问题是网站设计不当、应用程序漏洞、弱密码等，其实外部主动恶意入侵的比例很少，未来将针对委外安全验收问题进行改善。（摄影／罗正汉）

在资通安全管理法中，强调对于通报应变已有明确定义

关于资安通报机制的重要性，在2016年发布国家资通安全发展方案，就能看出端倪。在这项方案当中，-制定了2017年到2020年的国家资安发展战略，该方案包括四大关键，首先是完备整个资安基础环境，其次是建构整个国家联防体系，以及推升资安产业自主能量与孕育优质资安人才。

简宏伟解释，随着基础架构的完成，就能建构整个国家联防体系，包括关键基础设施之间，以及县市-之间的联合防护。基本上，资安处期望透过这种方式，让整个台湾各公务机关形成绵密的网络，一旦资安事件发生，就容易掌握。

关于情资分享方面，简宏伟也指出，自2016年资安处成立以来，开始推动整体关键基础设施联防，现已从以往的两层制变三层制。简单而言，从最底层的关键基础设施提供者，通报到上层领域的情资中心，并且分享，而情资中心也将经过去识别化等方式，再分享到国家的情资分享中心。

对于这项改变，主要是资安处考量到各领域之间，有一些资讯并不适合分享，因此，针对不同领域，将有对应的处置方式。简宏伟并指出，这些资料将是经过汇整、去识别化的形式，并在通讯传播委员会与经济部协助下，逐步建立。

事实上，近年资通安全管理法的通过与实施，已经代表-意识到通报的重要性。简宏伟更是强调，在整个资安管理法的架构中，通报是很重要的一件事。在通报的同时，也要情资分享，还要有可以稽核与管理的方案来掌握全局。不仅如此，之后每年也要将这些资讯送进立法院，如此一来，若是突然发生资安事件，就能知道各个-机关是由谁稽核，或是辅导，以及系统是由谁开发。更重要的是，资讯送到立法院后，都将是公开的内容。

对于资安事件通报应变与情资分享，在资安管理子法架构中是相当重要的一部分，当中并有具体的定义与规范，包括订定事件通报应变机制，以及通报、损害控制及复原、情资分享，还有调查处理及改善。（摄影／罗正汉）

至于法规的施行与落实，简宏伟强调，通报不仅是义务，更是法律上明定要做的工作，例如，在资安法第14条，就针对通报有明确的定义。而且，在各机关角色与权责，也都有清楚说明，以公务机关而言，必须对上级机关提报资安维护计划实施情形，或是通报资安事件与提出改善计划，相对地，上级机关会对公务机关进行资安稽核，同时，主管机关──行政院也将监督上级机关。而针对民间机关等特定非公务机关，则由中央目的事业主关机关来处理，通报管理流程大致相同，较特别的是，行政院也可以同时直接对特定非公务机关，进行资安稽核。

在具体作法上，简宏伟指出，现在都详细定义通报的作法与内容。例如，在事件通报及应变办法上，为强化各机关的因应，规范事件的分级，以及事前演练、事中通报及应变，并有事后改善的程序与机制；而在资通安全情资分享办法上，提升各机关的资安预警能力，强化资安相关资讯的交流。

综合而言，透过资安管理子法架构，从订定事件通报应变机制、通报、损害控制及复原与情资分享，到调查处理及改善报告，将以一连串机制强化重要机关的通报与应变能力。

另外值得注意的是，在通报流程上，依照现行法规要求需在一个小时内通报。简宏伟指出，通报速度越快越好，初步的资讯可以不用太详细，主要是能有助于资安处判断，像是同一时间若收到多个通报，这也显示事件范围扩大。而在通报完成后，将进行事件等级审核的程序以及事件处理流程，基本上，较轻微的1、2级事件要在72小时内处理完成，3、4级事件则是36小时。他强调，越严重的事件，处理速度必须要更快，并在一个月内提出改善报告给上级机关与资安处。

而在资安事件分级的依据上，主要依照是否为核心业务，以及是否属于CI关键基础设施来画分。而且，若事件发生在关键基础设施，资安事件等级将比非关键基础设施高；如果同一资安事件。影响两个以上机关或领域，资安事件等级也将往上提升一级。

至于情资分享办法中，现行法规也对情资已有清楚定义，包含像是情资分享的对象，以及分享方式，也将限制部分资讯为不能分享。