立院修法提高資安通報罰鍰上限至一千萬元,但懲罰只是治標不治本,關鍵基礎設施仍存3大隱憂,唯有補強監控、通報與人才,方能提升防禦韌性。
立法院八月底修正通過《資通安全管理法》,其中為了強化關鍵基礎設施的資安通報責任,修法將未通報的罰鍰上限提高至一千萬元,避免隱匿行為。祭出嚴懲只是治標之舉,從實際運作來看,目前國內的關鍵基礎設施資安防護至少還有三個痛點須解決。
首先,目前關鍵基礎設施雖然依據《資安法》應有SOC(安全監控),也就是透過專業團隊全天候監看設施是否遭到異常入侵。但實際上,目前多數關鍵基礎設施的SOC只監控IT(資訊系統),並未納入OT(工業控制系統)。等於是只看辦公室裡「電腦」的資安狀況,卻沒有監控電網、水閥、輸送機具等「聯網系統或設備」。
