新冠肺炎防疫措施展開 資策會科法所:不可輕忽資安隱憂
(中央社訊息服務20200605 14:46:07)
今(2020)年爆發新型冠狀病毒(COVID-19),世界各國相繼傳出感染病例,嚴重者甚至死亡,疫情也對經濟與商務活動帶來影響。各國政府為了保護國民人身安全,無不採取如暫停落地簽證或各類簽證、禁止外國旅客入境或未經許可不得入境、過境轉機限制、非必要不得出境等相關措施,希望藉此阻止並降低感染機會。
而本次突發的疫情,重挫全球經濟,各國商務交易活動低靡。為緩和產業營運挫折與經濟萎靡的情況,同時確保加強防疫成效,國內陸續展開相關防疫措施,其中又以遠距辦公與遠距教學的實施討論最為熱烈。因應遠距勞動與學習的推動,各界開始仰賴使用遠距系統、工具或設備,以便將單位資訊進行遠端整合、資源共享與協同作業,除了減少人員面對面接觸的機會,更可協助產業不受COVID-19疫情影響,持續運作,降低營運損失。
|
資通安全合規需求與分析研擬,為資策會科技法律研究所長久以來的重點任務與挑戰,透過緊密的探討與分享力圖釋疑
資策會科技法律研究所資安團隊長期關注資通安全領域國際法規與政策趨勢動向 |
透過如Zoom雲端視訊會議、Microsoft Teams、CyberLink U、Cisco Webex等線上會議與溝通系統或平台,成為遠距勞動或學習的最佳工具,因此在本次疫情席捲之下獲得各界青睞。然而,系統與平台的使用雖然解決了減少面對面接觸的不便,隨著使用頻率的提升,卻可能加劇了資安風險的產生。最廣為討論的即是近期爆發資安爭議的Zoom,由於系統本身潛藏資安漏洞,透過崁入惡意程式碼,略過使用者授權,導致遠端監控惡意攻擊、阻斷服務攻擊(DoS, Denial of Service)、列舉攻擊(enumeration attack)等漏洞產生,進而造成使用者損害。 長期耕耘新興科技法律議題的財團法人資訊工業策進會科技法律研究所(資策會科法所),關注資通安全領域相關法規與政策,並進行如歐盟、美國、日本及韓國等國際觀測與議題研析,在5G應用領域安全需求之合規基準、國際法遵趨勢分析、以及政策論述等相關研究多有著墨。鑒於此,資策會科法所提醒產業在選擇或採購相關遠距系統工具的同時,應多加檢視系統或設備之風險評估與資安控管程度,例如軟體脆弱性風險、存取控制風險或降低風險之措施等,透過識別風險管理中,減少資訊系統與關鍵設施之脆弱性。此外,還要考量可能的資安威脅,例如技術特性、資訊流量與資料之間諜侵害、透過網路損害或改變其他數位基礎設施或資訊系統,或源於系統供應商所在之特定國家等其他因素,以預防惡害威脅。 |
資策會科法所進一步表示,網際網路具互聯與跨國性,倘若遠距設備本身已具潛在漏洞,一旦出現弱點或發生資安危害事故時,勢必使企業整體、甚至所接觸的所有主體都可能受到影響。最後,檢視遠距系統設備與系統供應商是否符合機密性(Confidentiality)、完整性(Integrity)與可用性(Availability)之資安三要素(CIA),或是否通過國際資安標準檢測,例如,ISO 27001、網路安全管理架構之產業標準NIST CSF等,作為選擇資安工具的依據。資策會科法所再次呼籲,在COVID-19疫情延燒全球之際,急需應用遠距辦公或教學需求的同時,應更加重視相關遠距系統資通安全水準,以避免產業之敏感性資訊或機密文件輕易受到竊取或侵害。
