◎ 陳至正
貴報報導我國軍事武器研發機構中山科學研究院(中科院)購置的伺服器竟將中國「百度雲」列為公有雲,資料可上傳百度雲,並且支援雙向同步,混合雲端備份。雖中科院事後表示資訊設備僅用於內網,不會將資料送到百度雲端,公務資料並未外流。然而,肩負我國高端軍事科技研究之中科院,購置該伺服器且啟用超過一年,竟毫無警覺,資安防護鬆散至此,著實令人訝異。
本次事件之發生,最大的原因就是資安風險管理疏漏,否則早於辦理採購之初,即應排除百度雲。因此,無論是公部門或私人機構,都應以此為鑑,認識並做好資安風險管理,相關步驟有四:
首先,必須識別風險。雖然各部門業務內容及工作範疇差異甚鉅,可能潛存的風險因子不盡相同,然仍應審酌不同業務屬性,做出可識別的異質性資安風險因子。風險識別可說是管理的基礎,也是最重要的一個步驟。
其次,檢視風險成因。瞭解可能之外在威脅與本身潛存之弱點,如系統遭駭、發生重大天災、硬體設計缺陷等。清楚分辨外在危害之威脅與內在潛存之弱點,才能進行有效之相應安全管控或對策。
第三,進行風險評估。深入分析與評估每個可能存在的資安風險,包含風險發生可能性、發生時之影響程度、損失預期範圍及處理之優先順序等,方能提出有效的管理與因應。
第四,提出最適切之風險因應。處理方式大致可區分為避免風險、轉移風險、降低風險及接受風險。我們需先思考有無方式避免風險,如無法避免,退而考慮能否轉移風險,若無法避免又無法轉移,就審酌有沒有辦法降低風險可能帶來的影響與衝擊;最後,如果無法處理或需處理成本過於巨大,接受風險,也算是一種選擇。
唯有妥善之資安風險管理,從制度及作業流程上著手進行修正,並培養員工之資安觀念及敏銳度,才能達到資安防護,建構更臻完備的資通安全防護網。
(作者為地方政府資安稽核成員,雲林縣民)