資訊安全專題報導

唐鳳談資安 口罩再多 不洗手也沒有用!

靠一台Nokia老舊機款不怕被駭

葉怡君 2020-09-07

當心不要讓自己成為有心人士的跳板,無聲無息的「資安戰」每分每秒都在上演,你我都身處於其中。

【文‧葉怡君】

相較這次疫情迫使不少公司才施行遠距辦公及教學,早已進行遠距辦公逾二十年,經常在網路上即時回覆網友問題的數位行政委員唐鳳,辦公室內不乏VR眼鏡等高科技產物,但令人驚訝的是,唐鳳所使用的手機竟是Nokia的老舊機款8110;另外一台平常用來處理工作資料的iPad Pro則不含Sim卡,僅靠8110分享4G的訊號。

 

數位行政委員唐鳳將個人資訊安全,淋漓盡致地落實於日常通訊產品的使用。
 

將資安內化在日常生活中

從小細節就能看出,唐鳳將個人資訊安全,淋漓盡致地落實於日常通訊產品的使用,「就像防疫一樣,資安是每個人的事情,任何人都有可能成為防疫的破口,要隨時提高警覺!資料存放在自己的裝置,而這些裝置絕不會連接到行政院的內網,因此無論我在裡面存什麼、開什麼資料,都跟行政院的內網資安無關」,唐鳳強調。

診斷台灣的資安程度,唐鳳給出八到九的高分(十最安全)。為推動數位國家與創新數位經濟的發展,面對萬物聯網的時代,資訊安全每分每秒都面臨得面臨駭客攻擊、網路勒索及詐騙等種種威脅及挑戰,二○一六年政府已將資安提升至國安層級;今年更將資安列於「六大核心戰略產業」之一。

不是讓系統不被攻擊
而是被攻擊後如何回復


唐鳳指出,任何系統都會被攻擊,即使是沒有網際網路的系統,也有可能被以「社交工程」的方式攻擊,因此重點不是讓系統不被攻擊,而是被攻擊後如何回復?藉此測試「系統的韌性」(Resilience)有多高?譬如,當被攻擊到一個縱深的時候,是否能果斷地拔掉網路線,快速的切換至備用系統,阻止黑帽駭客繼續橫向擴散,降低損失程度。

根據行政院資安處統計,政府單位每月網路被攻擊的次數約兩千至四千萬次不等,平均一天遭受十萬次攻擊,就會被攻陷一次。

唐鳳指出,行政院超前部屬架設sandstorm系統,主動邀請白帽駭客進行攻擊,經六個月的滲透測試共找出三個CVE,現在已提供所有公務員使用。

唐鳳使用三大系統Sandstorm、Rocket Chat及Jitsi Meet視訊功能防範於未然,他巧妙用防疫解釋如何做好個人資安,「做好最基本的衛生習慣,投資的資安設備才能發揮作用,否則就像口罩做出來不戴也不洗手,口罩就算再多也沒有用。」

像是不經意的開啟email程式,預示會顯示遠端的影像跟遠端的追蹤像素,就有可能讓對方知道你是在什麼時候、什麼位置打開這封信,對社交工程而言是非常有用的情報,也多了一個讓駭客攻擊及釣魚的線索。

唐鳳表示,自己在讀email程式時候會將顯示遠端的圖片、資源全部都關掉,資安處也會針對各局處首長進行隨機的釣魚信件測試,若是點開信件表示中招,會被邀去進行資安講習。將資安防護內化為平常的作業習慣,就不會因為開啟一封簡訊,就傻傻的把自己的身分證字號跟密碼交了出去。

 

數位行政委員唐鳳表示,自己在讀email程式時候會將顯示遠端的圖片、資源全部都關掉,避免成為駭客攻擊及釣魚的線索。

拉高資安預算
確保白帽駭客就業機會


5G正式啟用,未來將被更廣泛應用在各種聯網設備上,唐鳳提及,開台前已在沙崙「Taiwan CAR Lab」自駕車的測試場及台北流行音樂中心等地,請白帽駭客試著駭入自駕車,是否會造成車子發狂撞人等失控行為,進行pre 5G的資安測試確保安全。

未來資安及國安,唐鳳表示,「資通安全管理法」通過後,不僅是公部門,像是科學園區等也都需要專門負責資安的人才,過去編列預算經常將資訊及資安混為一談,過去僅將資通訊五至七%的預算用於資安,未來則將是整體預算的五至七%,拉高專屬於資安的預算,並確保白帽駭客有充足的就業機會,能像英雄一樣被對待。

2019企業資安風險前十名
(資料來源:iThome)
 
員工疏忽、欠缺資安意識 57.1%
惡意程式 47.6%
釣魚攻擊 46.1%
勒索軟體 40.1%
垃圾郵件 33%
系統老舊 26.2%
駭客攻擊導致企業受影響 20.4%
適時的資安管控與架構 20.2%
商業電子郵件詐騙(BEC) 18.3%
具有可能受攻擊或破壞的潛在弱點 14.9%
 
社交工程陷阱(social engineering )

利用大眾疏於防範的小詭計,讓受害者掉入陷阱。該技巧通常以交談、欺騙、假冒或口語用字等方式,從合法用戶中套取用戶系統的秘密,例如:用戶名單、用戶密碼及網路結構。