【从“疫情指挥中心”学防骇】面对资安事件不能群龙无首，必须建立资安应变团队

为了因应武汉肺炎的疫情，在今年农历春节前，台湾就已在1月20日宣布成立“严重特殊传染性肺炎中央流行疫情指挥中心”，因为，根据当时-掌握的情资，我们已经观察到中国的肺炎疫情，持续升温，且邻近国家，如泰国、日本、韩国等，接连出现确诊个案，为了做好因应疫情的行动，因此透过防疫指挥中心，统筹整合各部会资源与人力。

谈到疫情指挥中心，相信大家都能意识到它的重要性，在这次防疫扮演了最关键的角色，从检疫措施、卫教宣导、防疫物资整备，到针对医疗院所感染管制预作规划、演练等，这个专业团队随疫情变化持续做出对应的处置动作，减少了事件对国内的冲击。

不过，这个防疫指挥中心的设立，也是因为过去我们有着惨痛的防疫经验。在2003年，台湾受到SARS事件的冲击后，-体认到当时的资讯交换、人员调度，以及执行的决策，不论是在平行或垂直整合都相当受限，因此，-在2005年参考美国卫生部指挥中心的概念，让指挥中心在平时能监测疫情，依疫情及灾变需求设立应变指挥中心，而且，这10多年之久，以今年而言，为了因应武汉肺炎疫情，已是台湾中央流行疫情指挥中心第9次开设。

企业需打造资安紧急应变力

事实上，紧急事件应变在很多领域都同样重要，在资安领域也是如此，毕竟，资安没有100%安全，就跟健康的人仍有生病可能性的道理一样，所以，应变与复原都是重要的一环。

在此同时，近年来，由于企业遭受网络攻击事件更频繁，资安界开始流行安全事件应变（Incident Response，IR），以及电脑资安事件应变小组（Computer Security Incident Response Team，CSIRT）的概念，还有近期像是近年美国提出的NIST网络安全框架，当中点出五大安全构面，包含识别、保护、侦测、回应与复原，其中最后两项也都与此有关，近年资安界常谈的资安韧性，其实也都具有这样的概念。

而无论是防疫工作的统筹执行，或是资安事件应变，都仰赖一个有远见、有指挥力、执行力的团队，也因此，多位资安专家也都看见防疫指挥中心（资安应变团队）的重要性。

简单来说，当企业遭遇资安事件时，紧急应变团队能否迅速动员起来将是关键。一般而言，从编制来看，有些是实体的固定编组，有些是虚拟的负责单位，虚拟所指的是不同团队人员组合起来，这就与我们日常工作中，接到多个任务分组一般，如此一来，面对重大事件时，就能有获得充分授权的指挥团队与指挥官，以加速确认资安事件发生的手法及范围，并根据现况来应变。

那么，国内企业、组织都已经具备资安紧急应变力了吗？TeamT5杜浦数位安全首席执行官蔡松廷认为，我们应该先回答下列问题：以疫情指挥中心而言，大家都知道事件由哪个单位负责，因此不会有踢皮球的状况，而从企业资安来看，当事件发生时，又是由谁来掌控呢？

他表示，在大多数状况下，相关人员是各做各的事，例如，资安和IT彼此独立运作，然而，当资安人员在处理事件时，调查过程会牵扯到很多电脑、网络、设备与机房等，但负责人员没有权利调用这些资源，此时，就需要找IT部门协助，或是请示长官等，这会造成很多时间的浪费，而这样类似的状况，正不断出现在国内许多产业当中。

真正能做好应变准备的企业或组织相当少，在蔡松廷的经验中，仅有一成的台湾企业能够达到要求，有部分企业则是虽然已有概念，但因为缺乏演练，因此应变上仍出现混论的状况。

要持续推动这些工作，需要许多条件配合，然而，防疫指挥中心的成效，也不是一朝一夕就能达成，但经过一段时间的努力和沟通，最终证明了大家的努力没白费。相对来看，值得国内企业进一步思考的是，组织是否已经透过制度设立紧急应变小组，并做好演练。

成立最高层级指挥中心，统一指挥调度，是紧急事件应变的好方法，TeamT5杜浦数位安全首席执行官蔡松廷建议，资安应变团队至少要有专门负责事件调查、灾难复原与沟通协调等不同角色。

应变团队有效运作有两大重点

从这次疫情指挥中心的运作来看，其实，团队分工与横向沟通，是背后容易忽略的焦点。

以疫情指挥中心下的编组而言，包含了专家咨询小组、疫情监测组、边境检疫组、社区防疫组、医疗应变组、物资组、研发组、资讯组、行政组、新闻宣导组，以及法制组/法务组。而在资安应变团队背后，也有其不同角色分工，是事件应变计划所要预先规划的。

例如，现在重大受瞩目的资安事件发生时，企业可能会受到厂商、上层单位、媒体与客户等的关心，如何不让这些来自四面八方的询问，干扰到资安应变团队的运作？TeamT5蔡松廷给出基本的建议，企业至少建立三个任务小组，包括事件调查、灾难复原与沟通协调，让对外的窗口能独立，而这三个任务小组也要做到同步协调，像是每天早上开应变会议。

而且，为了要让直向与横向的沟通，以及跨部门的协调，都要能够顺畅，因此应变团队负责人的均需充分授权，他提醒，这都要一开始要规划好的部分。

对此，勤业众信风险咨询服务执行副总经理林彦良表示，以资安紧急应变小组的角色而言，横向沟通相当重要，例如，公司部门有6个副总，谁要听谁的？谁要扛责任？这些都要有上层指派以及事先规划；至于由谁来担任应变负责人，他表示，其实不一定是资安长，虽然传统是由资安的人去负责，但涉及到公关媒体，以及客户相关的联系及消息公布，因此还是要由上面层级指派，而这也涉及公司的组成，像是金融业可能有资安长能负责，但若是非金融业，往往是首席财务官最有权利协调。

还有一点是，当遇到重大资安事件时，组织能否即时启动CSIRT团队因应，也是他们额外会提醒的部分。值得一提的是，对于危机事件紧急应变，从企业管理角度来看，应是许多大型企业本身已存在的流程与做法，例如，上市公司原本就有发言人的体系与制度，而资安事件应变其实也可以融入与应对。

要有整套的资安事件应变规划

面对公共卫生或资安威胁的应变，有专人负责只解决了部分问题，企业可不能只学一半，要知道的是，企业设立资安应变小组，其实只是整体资安事件应变计划的一环，当中还有事前、事中与事后的工作要进行，也需要制度与规范的配合，以及可执行性的考量。

戴夫寇尔首席执行官翁浩正建议，企业可以参考非营利组织CREST，所提出的资安事件应变流程（Cyber Security Incident Response）架构，当中规划了3大阶段，从准备、应变到追踪，并细分成15个步骤来实施。

其中，翁浩正特别提醒追踪方面的重要性。例如，在防疫过程中，我们有SARS经验的检讨，才会有疫情指挥中心的设立，在资安上也是如此，像是一两年前的勒索病毒威胁下，对于备份这种很基本，早该落实的工作，才真正受到重视，到了那时候，有很多企业开始检视自己是否做好备份，以及是否验证备份的有效性。

 更多相关报导  从防疫学防骇