北市府资安事件现况揭露，资讯局提出解释，并表示今年提升主动侦测能力并扩大情资搜集管道

半个月前，市议员许家蓓揭露台北市-资安事件的严重性，指出今年北市府已发生18起，且7月就多达5件，这是他在8月28日为质询调阅资料后的发现，当时不少国内媒体也引述了议员提供的资料，报导北市府资通安全事件创新高，但很可惜的是，当时并未说明各事件的资安事件等级。

到底今年这些攻击的严重性如何？成为外界关注的焦点。而且，只有北市府呈现如此趋势吗？

资安事件数量增，一定是程度更严重吗？提高主动侦测率找出潜藏威胁，其实也是好事

根据许家蓓的质询内容，她是因为调查局资安工作站在8月下旬发出警示，公布-组织遭受中国骇客组织透过委外资讯服务商入侵，因此特别向台北市资讯局调阅资安事件相关资料，并提出质询。当中揭露北市府历年资安事件数，2020年度（到7月31日止）资安事件达18件，而前五年的数据是2019年8件、2018年10件、2017年7件，以及2016年与2015年同为5件。相较之下，今年数量确实是明显增加。

不错的是，这次的揭露，让外界注意到北市府资安事件增加的现况，只是，未能进一步分析整体态势。例如，这次揭露的内容仅提到7月密集发生5起事件，但并未说明18起事件的严重等级，以及有无三级以上的事件。

对此，我们根据这5起事件整理，显示发现通报机关包括环境保护局、交通局与交通管制工程处与。其中，环保局有1起1级事件，交通局有2起1级事件，而交通管制工程处的1级事件与2级事件各一，其中2级事件是资讯局通知侦测到有挖矿程式，处理后已完成损害控制。

这里还有一个问题，是18起事件真的就算频繁吗？毕竟，资安业者常提到企业往往是被攻击而不自知，还是现在比过往更能发现到以往没察觉的资安事件？另外，随着资安法的施行，进一年来，行政院资安处正持续强调通报的重要性，是否也与此有关？

对于上述这些问题，我们向台北市资讯局询问，在他们的回应中有了更清楚的说明。资讯局表示，在这18笔事件中，有9成是1级资安事件，没有严重的3级资安事件，当中15笔为资讯局主动侦测并通报，3笔为联防体系通报。

对于今年资安事件数高于近5年的现象，资讯局指出，除了攻击数变多，他们的主动侦测率也提高。他们说明，由于中央资安前瞻预算挹注，北市府除了部署端点防护程式，也扩大资安情资搜集管道来源，因此，在攻击潜藏初期，即发现异常并加以阻断。

对于这样的态势，他们的看法是，从近期调查局等情资显示，确实因政治情势而-受攻击事件均普遍增加，但他们对于资安威胁，也更能于先期进行预警防护。

另外，我们也询问许家蓓议员办公室，是否会联合六都议员共同质询同样问题，以了解国内整体现况，但对方并未答复。

综合来看，外界对于这次事件多聚焦在资安事件大增，目前来看，并未有严重的三级事件，另外换个角度来看，对于现在机关单位能侦测到更多恶意行为，资安防护进步，我们认为这也是一件好事，而不是遭受入侵却无法知道，等到问题变严重则为时已晚。而这次台北市的状况，也不失为给其他六都及县市机关一个提醒，提升资安防护的侦测能力，有助于找出更多潜藏威胁与风险。

委外供应商的安全问题成焦点，北市资讯局建议各机关需对委外服务商提出五大管理要求

另一方面，关于调查局公布中国骇客组织透过-委外资讯服务商入侵的现况，许家蓓这次另一个关注面向是在委外厂商，根据许家蓓向台北市资讯局调阅的资料，显示北市委外供应商多达299家，并有12个系统及网站机房由厂商代管或托管，因此认为北市需更加注意防护。

由于资讯委外-早已施行多年，我们也好奇委外供应商家数变化的趋势，不过台北市资讯局的回复是没有这方面的统计，因此我们也无法得知供应商有减少还是增加。

而对于供应商在资安上的监管，有那些挑战要面对，是否有相关计划，资讯局给出了答复，他们认为，委外厂商在资讯安全资源和人力配置上，仍有很大的进步空间，且骇客攻击手法已改为透过委外厂商，辗转攻击-机关，他们现在也配合“资通安全管理法施行细则”第四条对厂商稽核，要求厂商强化资安防护能量，并要求各机关委外办理资讯服务应纳入资安需求规范。

同时，台北市资讯局也提供了他们的因应措施，是建议市府各机关单位对委外厂商提出五大管理要求，包括远端连线、厂商账号密码盘点、登入异常监控，以及外部稽核与供应商通报。

例如，在远端连线方面，原则上，他们是禁止厂商远端连线管理服务器，但如有远端管理需求，也应以VPN连线，一人一账号，并采取多因子认证，且连线范围仅限厂商管理的主机，同时，也建议采用跳板主机方式进行远端管理，降低重要主机可能攻击范围。

同时，对于厂商账号密码应定期盘点，机关应以最小权限与最低开放时间为原则，如已无使用需求或人员异动，应要删除；对于厂商连线与登入的相关纪录，也应纳入监控，有异常行为应停用账号并进行调查。

还包括定期对委外厂商进行外部稽核，以及要求厂商内部受骇时，应主动通知机关进行损害控制或预防措施，以避免受到波及。