国家资安报告:勒索软体攻击锁定大企业或关键基础设施

行政院发布去(109)年国家资通安全情势报告发现,勒索软体攻击肆虐全球,我国公私机关部门亦难幸免于外,攻击对象也从过去随机攻击,转变成锁定大型企业政府关键基础设施领域目标式攻击,109年某机关就曾遭受勒索软体攻击,造成三级资通安全事件

不过,去年政府机关通报资安事件为525案,近三年来看,有下降趋势,大前(107)年为754件,前(108)年674件。资安事件依所造成的机密性完整性可用性冲击严重度分级,去年525案中,最轻一级事件共451案、二级65案、三级9案,并无四级事件,其中非法入侵占68.76%为最大宗,其余还包含网页攻击、设备问题、阻断服务等。

行政院每年定期公布国家资通安全情势报告,报告表示,勒索软体会借由加密档案,致使受害者无法正常使用电脑,影响业务运作,进而达到勒索赎金目的,攻击对象也从过去随机攻击,转变成锁定大型企业或政府关键基础设施领域的目标式攻击。

举例来说,去年某机关发现遭受勒索软体攻击,骇客经暴力破解设备维护厂商使用的帐号密码,再横向扩散至其他设备,利用勒索软体加密资料,致相关资通系统无法于可容忍中断时间内恢复运作,造成三级资通安全事件。另外,在能源领域也发现勒索软体攻击案例,是骇客入侵公司系统长期潜伏及探测,最终利用勒索软体加密重要档案,以要胁巨额赎金。

面对勒索软体攻击成为常态,报告强调,如何制定应变措施,以缩短灾害复原耗费的时间将成为关键。建议各机关应落实系统弱点修补,及软韧体更新作业,在设定系统登入密码时应符合复杂性原则网路架构上应有适当区隔存取控制,重要资料应建立异地备份备援机制,定期办理营运持续演练,降低资通系统遭受勒索软体攻击的风险,并强化机关成员的资安意识,避免点击来路不明的档案或连结。

政府机关面临的五项资安威胁,包含持续出现个资遭泄案例、勒索软体阻断系统服务运作、物联网设备因韧体未更新遭植入恶意程式进阶持续性威胁攻击窃取机敏资料、及政府机关委外供应链遭骇侵。

有关持续出现个资遭泄案例,报告显示,某机关曾因厂商误将未经遮罩的敏感资讯上传网站,致民众个资外泄,建议各机关应加强同仁对个资管理的教育训练,定期检视同仁存取个资及机敏资料的权限设定,建立资料上传审核流程,加强防护敏感资料档案。

此外,因应疫情需求所搜集的实名登录个资,应指定专人办理并善尽资料保护责任,落实管控与删除销毁作业。