📖 ZKIZ Archives

如果台灣發生韓國一樣的駭客攻擊事件......花錢就能拿證書 台灣資安玩假的?

2013-04-01  TWM
  
 

 

如果台灣發生如韓國一樣的駭客攻擊事件,是否有抵擋能力?多位網路資安專家表示,台灣的網路根本毫無資訊安全可言,問題在於政府放任不管、業者只會買證書卻未落實稽核的心態,一旦發生駭客攻擊,台灣上自國家機密、下至市井小民隱私,將毫無安全可言。

撰文‧許樶文

三月二十日,韓國遭網路駭客惡意攻擊,導致多家媒體及銀行電腦主機癱瘓,震驚全球;大家不免擔心,一樣的狀況發生在台灣,能擋得住嗎?多位負責網路資訊安全的專家對此回應:「很難、幾乎不可能,因為台灣的資安稽核根本沒落實。」台灣網站分級推廣基金會執行長胡貽圓表示,韓國從九○年代初期就開始發展「電子化政府」,還曾在二○一○、一二年兩度獲得聯合國電子化政府評比第一名,「別的不說,當台灣把『網咖』當成特種行業強力掃蕩時,韓國卻是大力扶植網咖,這個國家對網路資訊安全投注的心力,與台灣相比,是兩種截然不同的格局。」「如果韓國擋不住駭客,那麼,台灣更不可能。相同的網路攻擊事件發生在台灣,確實讓人懷疑台灣資安的招架能力。」胡貽圓擔心地說。

漏洞一:政府缺乏明確罰則在韓國事件發生後,台灣的金融業、電信業、政府單位等,都急著對外宣稱自己已經通過ISO 27001國際資訊安全標準認證,但實際上,不論是金融業、電信業,甚至於政府部門,都曾因為網路被駭而損失慘重。

例如○三年時,某官股行庫因一位實習生騙取了主管的網路金鑰,將兩筆共三.二億元新台幣的資金存入虛擬帳戶中,然後再轉入自己帳戶;○九年一月,內政部移民署大當機,花了三天才修復,而這中間卻有被列管的五人因為電腦當機而順利出境。

資安漏洞不止於此!○八年至○九年跨年夜時,某電信業者系統當機,經調查,發現竟是電信業者合作廠商的離職工程師,利用公司不知道的帳號與密碼入侵電信業者的主機,約有超過百萬名用戶受影響。

查證後,該電信公司對工程師提出告訴,但這家電信公司卻沒因為未盡善良管理人責任而被政府罰款。「如果相同的事件發生在美國,該電信業者會因資訊安全管理不當而被罰兩千萬美元以上。」一位在某國立大學負責教授網路資安的老師強調。

漏洞二:認證機構良莠不齊「台灣的資安問題,不是我們『技不如人』,而是根本沒有嚴謹的要求與管理。」這位老師表示,除了政府沒有明定資安管理不當的罰責、造成業者怠惰之外,從資安的驗證到後續追蹤稽核,都有嚴重漏洞。

事實上,在經濟部標準局檢驗局底下、負責管理驗證公司的財團法人全國認證基金會只核可七家驗證公司能發放ISO 27001的證書,而這七家公司目前僅發出三百多張,令人憂心的是:「企業稱自己通過ISO 27001認證、手上還有證書的,遠遠超過這數目。」一家在台灣僅輔導企業通過ISO認證、不發證書的顧問公司表示。

且這三百多張中,僅有不到十張是企業的每個部門都通過此標準認證,「剩下的多是企業的資訊部門通過驗證,所以駭客能從其他部門入侵。」這位老師指出,「在實務上,只要公司付三十萬元新台幣,找家驗證公司輔導,備齊文件,往往就能通過ISO 27001的認證。」但企業內部每一項資安細節是否真有符合ISO 27001的標準,恐怕未受到嚴謹檢核。

對於國內資安驗證的鬆散亂象,行政院國家資通安全會報召集人張善政也曾提及。去年,他在出席台北資安展開幕典禮時就提到,「台灣取得ISO 27001資安管理驗證的市場需求大增,但供應端卻是良莠不齊。」漏洞三:未依產業量身驗證在歐美先進國家,發放資安驗證的單位多為非營利事業機構,以在台灣也有分公司的挪威商DNV為例,DNV在挪威並不是「公司」,而是一個獨立的「基金會」,雖然驗證、稽核也會向企業收費,但因為非屬營利機構,不以賺錢獲利為目的,因此在檢驗與稽核上的公正性也較能受到信任。

而在台灣,負責資安的認證、稽核單位多半是營利事業。「在營利事業單位前提下,驗證、發證及後續的稽核皆為同一家公司,這樣的證書能有多少公正性?」一位教資安的老師提出質疑。

荒謬的資安漏洞不止於此,各行業該符合的網路資安條件都因產業特性而有所不同,即使企業能讓坊間的驗證公司每年稽核,也該按照產業類別,訓練專門人才稽核。

據了解,歐美先進國家甚至是中國大陸,負責稽核人員幾乎要求按照產業類別加以區分。但在台灣,目前驗證公司負責稽核的人員幾乎都是橫跨多種產業的「通才」。全國認證基金會就坦言:「目前驗證公司的稽核人員,確實沒有按產業別分類。」據了解,全國認證基金會曾在○二年八月出過一份報告,附錄建議依照歐聯執委會規則,將產業總共分為三十九類,依照專才分類稽核,但最後卻不了了之。

相較於台灣,大陸對於網路資安的要求,卻是比台灣嚴格、明確許多。大陸師法美國,從一九九五年開始,逐步建立網路資安技術要求的標準,並在準備工作告一段落後,在○七年六月頒布「信息安全等級保護管理辦法」,大陸並沒有遵照ISO的相關辦法,而是自己制定一套資安規則,由專門的公安部落實發證書制度,並定期派員稽核。

此外,大陸將資安分為五等級。反觀台灣,推動資安已經超過十二年,到○九年才訂出「資訊與資訊系統分類分級」工作項目,可是到現在,分類分級的標準都還沒有明確訂定。

ISO制定的國際認證標準並沒有問題,有問題的是台灣政府的心態與執行力,「橘逾淮為枳」,一個國際認可的制度到了台灣後,卻漏洞百出,值得相關單位深思。

什麼是ISO 27001?

ISO(International Organization for Standardization),中文名稱為「國際化標準組織」,成立於1947年,是製作全世界工商業國際標準的機構,並不會頒發任何證書給企業,只能制定規範讓各國遵守。台灣原本是ISO創始國之一,但目前已經不是,不過仍參考ISO標準。

ISO 27001是資訊安全管理系統的國際標準,主要從1995年開始廣泛運用,它能確保其組織本身的資訊安全防護措施是有效的,但這僅是最基本的標準。

PermaLink: https://articles.zkiz.com/?id=54166
Next Page
ZKIZ Archives @ 2019