印表機、投影機、防火牆、溫控系統……,這些不起眼的連網設備,早就成為境外駭客瞄準的資安破口。他們藉此入侵「手無寸鐵」的民間組織及中小企業、「缺乏防禦盾牌」的政府委外包商,一路進攻,意圖癱瘓設備或竊取資料。
2023年,台灣每秒有1.5萬次的網路攻擊;2024年,台灣政府網站每天受到駭客攻擊達240萬次。
敵我攻防並非正面交鋒,攻擊者瞄準的就是這些無人鎮守的邊陲地帶, 而當境外駭客從邊陲滲透,那些被遺忘的邊疆堡壘足夠堅實嗎?
自一九年《資通安全管理法》實施後,政府機關若發生資安事件,依法須有通報義務。而翻開近六年來的資安署統計,政府機關通報的資安總件數,從一九年的三四四件飆升至二四年的九一四件,成長約一.七倍。
雖然國內至今未發生涉及機密資料遭嚴重外洩的「四級事件」,但六年來總計四六七三宗通報案件裡,涉及敏感資料遭輕微外洩的「三級事件」也占有三%。而屬於非核心資訊洩漏的「一級事件」及「二級事件」,共占九七%為最大宗,且多為「非法入侵」類型。
不過資安署長蔡福隆則強調,目前在《資通安全管理法施行細則》第四條已明定,公務機關委外辦理的資通系統,應符合第三方驗證、具備資安維護措施等規範之外;從明年起,資安署還將要求公務機關委外的軟體廠商,應設產品資安應變小組(PSIRT)、建立「漏洞通報機制」,當任何使用者發現可疑漏洞,廠商必須有專責的回應及修補機制。此外,也將要求政府委外廠商回報「軟體元件清單」(SBOM),以利政府從開發源頭,追溯可能的漏洞。
政府周遭堡壘的第一層、第二層城牆,或許還能靠一紙紙法令,加緊補強。但更多處於邊陲角落的企業或組織,恐怕還沒拾起防禦盾牌、甚至根本缺乏資安的備戰意識,連基本的防護都付之闕如。
就像那位公司遭駭的董座所感嘆,「我們根本不知道一台事務機也是資安破口,數發部必須更主動分享其他遭駭案例、提供即時情資,否則面對境外駭客,企業真的是無能為力。」他語氣無奈,若連上櫃公司都難以自保,資安戰對於中小企業、一般民間組織的衝擊恐怕難以想像。
駭客潛伏你家門
一份風險清單 台灣公私部門驚入列
但令人不安的現實是,敵人早就潛伏在企業忽略的邊陲角落蓄勢待發。蔡松廷秀出一張涵蓋全球近兩百個組織的「風險清單」:那是都使用美國品牌 Ivanti VPN系統、且曾被中國APT駭客入侵過的機構名冊。但清單上許多組織至今仍未修補漏洞,等同向敵人敞開邊陲門戶,讓駭客可以隨時從遠端發動攻勢。其中,台灣的中央二級行政機關、國立研究型大學、地區醫院、資本額逾十億元的上櫃公司都赫然名列其中。而台灣機構在清單上的占比就達二○%。
蔡松廷雖早已展開通報,但仍擔憂趕不上敵人的腳步。「現在各個產業都是駭客有興趣的目標。」他指著最近更新的危險名冊,橫跨的國家數更多了,已飆升到二十一個國家、三十個產業別的公私部門單位,從汽車業、營造業到非政府組織,甚至國際媒體機構……,駭客就藏身在被輕忽、無人關心的邊緣連網設備,伺機出擊進攻。話才說到一半,他轉頭對記者說,「搞不好,下一個目標就是你們。」
延伸閱讀:
資安破口系列1一每秒遭1.5萬次網攻,連工廠冷凍庫都不放過…俄羅斯駭客嗆:台灣網路安全不堪一擊!
