駭客攻擊國安局「成功率接近0」! 蔡明彥揭守備實力
國安局長蔡明彥14日在立法院答詢。(姚志平攝)
立院外交及國防委員會今(14)日審查國安局預算,民進黨立委沈伯洋表示,根據統計,臺灣政府單位遭到網路攻擊的次數非常高,建議國安局參考歐美公司內控模式,並建立特殊資安治理架構。國安局長蔡明彥說,國安局防護能力強,駭客成功攻擊機率接近0,而國安局在硬體、人安上皆有所作爲,除建置硬體,也和各情報機關進行演練,未來培訓人員可達3000人次以上。
沈伯洋今質詢時指出,資安業者Check Point今年第3季數據顯示,臺灣受到網路攻擊次數第二多的就是政府與軍事機構,平均每週超過5000次,而國安局預算書第三頁有提到強化資安的維管工作,目前進度爲何?蔡明彥迴應,國安局非常重視資安維管,也要感謝立院的支持,過去資安上的經費有增加,但國安局的防護能力,讓駭客攻擊難度較高,成功攻擊的機率接近0。然而很多駭客侵害的對象變成民間機構,DDoS的攻擊也變成趨勢,纔會看到攻擊次數不斷增加的趨勢。
沈伯洋表示,從公司內部竊取機密、或刻意讓公司設備中毒,比例已經將近一半,也就是現在做紅隊演練要增加相關的內容,且以歐盟跟美國來講,一家公司會分配3000萬到4000萬的預算在進行內部控管。蔡明彥說,資安的部分一來是硬體,再來則是「人安」,國安局花很多經費做硬體的建設;人安的部分,除了實體的隔離外,也會嚴格的禁絕人員攜帶連接電腦的設備進出,且營區門口有管制作爲,同仁有違紀也可以透過內部控管知道,透過多管齊下的措施確保安全。
蔡明彥提到,除了國安局內,還有另外11個情報機關,進行教育訓練聯合攻防演練,未來2到3年培訓的人員,可以達到3000人次以上,經費補助也會去了解相關國安團隊的資安環境有沒有需要策進的地方,有必要的話,設備和經費的投注都會去協助相關的國安單位。
沈伯洋提醒,也可以參考國外對資安的投資,是否有國安局有缺少的內容。目前除了剛剛講的教育訓練等,美國現在有NITTF、英國有CPNI以及歐盟透過NIS2的指令,有特殊的資安治理架構。
沈伯洋直言,他跟各大公司資安長討論後,瞭解不只國安單位有所缺漏,有些企業的資安措施尚未完善,未來也將對國安局及國防部提出進一步要求。而關鍵基礎設施跟國安局有很強的關係,但關鍵基礎設施現在人力不足,在進行委商的時候,廠商有沒有符合相關規範也無從得知,有可能需要國安局去協助,假設外包契約有標準要求,是不是讓各個廠商也能做到?
蔡明彥說,現在很多單位都很注重委商,且若授權權限過高,可能引發資安營運問題,如何透過契約方式讓廠商有更大權責、負起相關資安外泄的責任,接下來在契約部分要進行加強。另外,委外廠商有沒有背景查察,對國安單位而言,會是最優先的工作,但其他政府單位的知覺還不太夠,會提醒各單位注意。