資通安全網路月報(109年7月)
<近期政策重點>
為避免公務及機敏資料遭不當竊取,導致機關機敏公務資訊外洩或造成國家資通安全危害風險,本院前於本(109)年7月21日函知各機關重申行動應用APP及軟硬體使用相關規定,相關重點內容摘述如下:
- 一、依據103年6月24日「行政院國家資通安全會報第26次委員會議」決議略以,為避免公務及機敏資料被不當竊取,各機關應落實辦理公務機關個人電腦非經核准,不可安裝非公務用軟體,包括即時通訊軟體。
- 二、為提升國內行動應用APP資通安全,經濟部工業局業於103年起推動相關基本資安檢測制度,各機關於自行或委外開發之APP時應辦理資安檢測,或優先使用通過資安檢測之APP,以保障使用者安全。
- 三、依現行採購法規定,大陸未加入政府採購協定(GPA),機關可於招標文件明定廠商所提供之財物或勞務之原產地不得為大陸地區,進而限制大陸地區之財物或勞務參與。
<整體威脅趨勢>
事前聯防監控
本月政府領域資安聯防監控共回傳39,342件資安監控單,近一年資安監控情資統計詳見圖1。本月資安監控情資之威脅種類前3名,分別為入侵攻擊類(38%)、掃描刺探類(35%)及惡意程式類(12%)。
圖1 資安聯防監控資安監控情資統計
事中通報應變
本月資安事件通報數量共96件,近一年資安事件通報統計詳見圖2。本月通報事件以數位監視器設備主機(DVR)受害事件與感染挖礦程式為主。
圖2 資安事件通報統計
事後資訊分享
某資安責任等級B級機關接獲其資安廠商通知,其內部資訊設備有橫向攻擊行為,依據現有日誌紀錄發現該機關於108年10月24日前已遭駭客入侵,利用多組帳號密碼進行橫向擴散跡象,惟駭客入侵時間已久,無法透過現有紀錄釐清遭入侵原因。技服中心檢視該機關通報紀錄,發現該機關於108年7月資訊設備曾遭入侵,依該機關提供本案與108年通報案件之惡意程式,發現皆為駭客組織PLEAD之惡意程式家族,該家族針對政府機關與民間機構進行進階持續威脅(APT)攻擊,慣用網路釣魚郵件夾帶惡意附件檔案,誘騙使用者執行附件惡意檔案,推測可能因108年事件未完整清除惡意程式,導致駭客持續潛伏於機關內部。
足資借鏡:
- 一、機關如未能釐清事件發生原因,且網域伺服器亦有遭入侵情事,應於事件調查完成後,全面變更資通訊設備帳號密碼,並以資安健診方式檢測其他可能殘存之惡意程式,以降低駭客持續潛伏機關內部風險。
- 二、建議機關於資產盤點時,確認各設備帳號密碼與權限等級,並遵守帳號密碼不共用原則。
<國內外重點資安新聞>
- 一、以色列供水系統,遭兩次網路攻擊
目前關鍵基礎設施水資源領域的網路攻擊事件,大多係針對水庫和發電廠進行攻擊,以達到服務中斷之目的,惟近期駭客亦可能將較不起眼之水利設施作為攻擊目標,擾亂其正常運作;依以色列當地媒體報導,該國農用水泵在本年6月份遭受2次網路攻擊;嗣後,該國水務局發表聲明表示,上述資安事件皆係鎖定農業部門的小型排水設施,經相關單位維護後已正常運作,並無造成實質危害。(資料來源:ZDNet、The Washington Post)
- 二、英國正式宣布禁用華為5G設備
英國政府於本年7月14日宣布,將於同年12月31日後全面禁止公務機關採購華為之5G網路設備,並規劃將上述規定納入「電信安全法案」(Telecoms Security Bill),以要求該國電信業者應於116年底前移除所有華為之5G網路設備。(資料來源:iThome)
- 三、用戶於不知情狀況下使用抖音APP可能遭讀取手機內容
近期新聞媒體報導抖音APP可於使用者不知情且未經同意的狀況下,讀取使用者手機資料(例如帳號密碼、信用卡資訊等),爰為確保使用行動應用APP資通安全,經濟部工業局業於103年起推動相關基本資安檢測制度,各機關於自行或委外開發之APP時應辦理資安檢測,或優先使用通過資安檢測之APP,以保障使用者安全。(資料來源:The News Lens 關鍵評論網、新興科技媒體中心)
<資安法專區>
- 一、資通安全防護巡迴研討會線上課程:
為利各機關同仁了解最新資安防護重點與訊息,本院資安處自本年7月20日至9月30日於「e等公務園+學習平臺」上架「109年第1次政府資通安全防護巡迴研討會」線上課程(課程內容如下),請各機關鼓勵同仁參與學習,提升資通安全管理與技術認知,完成學習者可認列3小時資安專業課程時數。
- (一)資安威脅趨勢與案例分享。
- (二)資通安全管理法施行情形說明。
- (三)政府組態基準(GCB)推動及導入政府機關資安弱點通報機制(VANS)說明。
- 二、政府機關導入VANS作業:
本作業係為協助機關落實資安法所定資訊資產盤點及風險評估作業,導入目標期程為:資安責任等級列A級之機關(構)於110年底前完成導入、資安責任等級列B級及C級之機關(構)於111年底前完成導入。
另,本院資安處規劃至本年8月11日至9月4日,針對上述A、B級公務機關及關鍵基礎設施(CI)提供者辦理VANS實作教育訓練(總計13個場次),請各機關(構)務必指派同仁參與訓練,俾利後續VANS介接作業,完成訓練者可認列6小時資安專業課程時數。
<近期重要資安會議及活動>
本院沈副院長榮津於109年7月22日主持「行政院國家資通安全會報第35次委員會議」,會中聽取「109年上半年資安情勢分析與重點發現事項」及「資通安全管理法施行情形及重點發現事項」等議題報告,並責成各部會應督導機關及所屬加強推動資安制度及落實資通安全管理法,並請本院資安處就強化關鍵基礎設施資安、推動資訊向上集中及強化資安意識等進行研議規劃。
<資通安全長及資訊主管異動情形>
- 一、資通安全長(以下簡稱資安長)異動情形:
- (一)促進轉型正義委員會資安長自本年7月14日起,原由蔡主任秘書誾誾兼任,改派為曾主任建鈞兼任。
- (二)桃園市政府資安長自本年7月17日起,原由李副市長憲明兼任,改派為高副市長安邦兼任。
- (三)國家安全會議資安長自本年7月24日起,原由蔡副秘書長明彥兼任,改派為徐副秘書長斯儉兼任。
- 二、資訊主管異動情形:宜蘭縣政府計畫處處長自本年7月15日起,原為李處長新泰,現由簡副處長適代理。