2022 年

2022-07-27

有急事找你!把詐騙警覺轉化為資安行動力
Email165 防詐騙分析中心

「有急事找你」詐騙訊息狂寄全台民眾手機,喚起民眾對於資安意識的警覺心,例如 NCC 宣導防止詐騙在日常生活中就要謹記「三不五要」口訣。對應到企業營運或是行政機關,要怎麼宣導同仁能具備足夠的資安警覺,也是一個重要課題。特別是現在政府對於資安要求越來越周全嚴謹,不斷精進修調的法規,也許會讓剛踏入這個領域的資訊人員、或資安人員有些手足無措,這邊建議可以綜合來看,先將資安法規的常見重點列入考慮範圍,之後再逐步一一完備相關機制。

近年資安法規的常見重點

即將於今年正式上路的數位發展部,包含兩個重要次級機關,一個是將帶領百工百業向前發展的數位產業署、而一個則是將更全面地規劃督導政府機關與公營事業資安機制的資通安全署。相關的《資通安全管理法》也在第七條要求機關設置資安專責人員。而在保護公務機關執行任務或行政資訊安全的《政府組態基準 (GCB)》說明文件當中也有提及系統設備的帳號與存取安全、關閉未使用服務、 安全監控與報表、政策與作業系統等資安指引。不謀而合地,在金管會發布的《公開發行公司建立內部控制制度處理準則》中,也將依規模分階段要求企業任命資安長及設置資安專責單位。111 年底前,可望達成超過 100 間大型企業完備資安機制。

資安管理 v.s. 資訊管理,任務心態略有不同

對於很多資訊人員來說,資安領域跟資訊領域的業務範圍,其實是大相逕庭的。有別於「資訊管理」旨於協助組織單位利用數位科學的方式提升生產力的服務性質,為了維護「資訊安全」,資安專責單位將面臨強制要求組織內同仁遵守某些乍看可能「不太方便」的數位管理流程,也更有可能在執行資安任務的過程中,被同仁冠上「使用者體驗不佳」或「不切實際」的刻板印象。

給資安長的建議 ── 考量人性(研究同仁特性),優先建立「會被使用」的資安措施,來降低使用者的防備心,畢竟如果使用者不遵守,資安單位規劃的再謹慎,努力也很容易成為泡影。所以建議先導入使用者比較好上手的資安流程,再慢慢地調適使用者心態、滾動式優化必要的資安機制。

提升資安力,先從電郵安全管理開始

數位疫情成為企業新困擾,還記得今年第一季大舉入侵台灣企業的 Emotet 加密病毒信件攻擊嗎?對於企業機關來說,Email 可說是最常被駭客狙擊入侵的途徑,最大的原因是不太耗費成本、且可多次反覆嘗試攻擊,加上也不是每位使用者都能時時保持警覺,駭客只要有一次的攻擊成功,就能夠掌握狙擊機關內部的重要機密。面對這樣密集反覆的駭客攻勢,以下將根據資安法規常見重點、再加上考量使用者體驗、近年駭客攻擊手法趨勢,提出初步的安全郵件四大重點:

對於積極熱情的資安人員來說,最理想的作法或許是組織內全部都要全面性的防護,但是這樣可能會極度不方便、也可能會極度昂貴,所以取安全與便利的平衡、建議至少一部份可先以分級處理的方式、漸進式布局。

回歸文章開頭,「有急事找你」在日常生活中目前觀察多是透過付費簡訊傳送,也有可能是以即時通訊管道告知,而工作場域的資訊管理者們,也許可以參考導入沒有廣告干擾的工作即時通,有效避免陌生帳號傳遞有威脅的訊息或釣魚連結甚至得以竊聽各機關工作群組的重要討論事項,建立即時通訊也該有管理介面的概念,維持良好的聊天室安控原則,也能降低群組成員一言不合就翻群,工作資料無法長久保存的風險。

疫情影響,經過兩年多的磨合期,有越來越多的工作者習慣了遠距辦公的模式,甚至也有企業開放心態,接受遠距辦公的優點。您是否也常聽到周遭的親友們說自己還在居家辦公,好久沒進辦公室了呢?而在追求營運發展的途中,如何避免組織被數位威脅拖慢成長腳步,更成為資安專責人員的使命。

駭客攻擊 24 小時不斷革新,務必尋找專業資安廠商諮詢

掌握資安攻防趨勢脈動,是建置組織內資安機制的重要前置作業。各大法規要求設立資安長(資安專責)單位,以企業來說,今年上半年已有近目標半數的企業達成,政府提升資安發展的決心可見一斑,展望明年,至少會再擴展上千家的企業機關面對相關資安法規遵循的要求。鼓勵企業與機關互相參考資安建置模式,以便建立更有彈性的資安網絡。

歡迎資安長(資安專責單位)踴躍尋找可信賴的資安廠商,建立聯繫、掌握最新駭客手法動態與資安法規、著手研議資安預算,了解目前行情價,為明年導入先做打算(例如:每 100 人的使用單位,每月合理經費範圍?)避免當法規緊急要求時,因為不太了解市場行情而收到過高的報價。善用郵件安全雲端服務,用多少才花多少,價格更經濟、架構更彈性。


防阻駭客動態威脅!MailCloud 安全郵件雲每分鐘都在保護您的公務郵件信箱

了解 MailCloud 團隊如何做到>>