2021年台灣科技大廠遭駭客REvil勒索天價5000萬美元,而就在最近,國際GPU大廠也遭勒索軟體攻擊,駭客要求100萬美元,否則將出售並公布其關鍵技術與內部資訊…這一連串的事件都讓企業相當震驚。 資安強調「不出事就是最大安全」這個概念無法實際測量,企業老闆常看到資安部門在花錢,但卻無法像是良率、客戶滿意度等指標,可以看到明顯的數據改善。 加上許多資安危機都不是立即出現,譬如資料外洩、駭客入侵,都很有可能在2-5年才被發現或發動攻擊,讓資安常面臨「看不到執行效益」的困境。 但是,資安問題只要一發生,對企業造成聲譽、營運、業績的立即性衝擊,絕對不輕,資安的超前佈署落實與落實,老闆轉念才是關鍵,值得企業主深思。 此外,近年還有歐洲銀行監理總署(EBA)發布的「資通科技及安全風險管理指引」,以及新加坡金融管理局發布的「網路安全公告」,這樣的國際趨勢,都突顯強化金融產業網路安全的必要性,相關強化措施也成我國需要密切關注的趨勢。 另外,針對金融界的攻擊手法越來越精密,為讓關鍵金融資產的保全能夠多一道防線,近年美國產業提出的「避風港計畫」,也被視為金融業在資料保護上的新焦點。
二、「單項飲食」在營養素上通常都有侷限性,若缺乏良好搭配,難以完整獲得全面的營養。 例如牛奶雖然富含鈣質,但缺乏部分維生素礦物質,而且對於體力的補充幫助也相當有限,這時就必須搭配其他相對應的飲食攝取,必須花費不少心思鑽研與實踐;但營養品就相對全面許多,一罐便能包含更多人體所需營養素。 生活在人類腸道中好的乳酸菌能夠幫助我們增加體內的好菌、維持消化道機能、提升營養成分的利用率;另一方面,乳酸菌也能調整體質、維持健康。 對於年過45歲的樂齡族而言,能夠促進骨骼健康的「鈣」,以及維持血鈣平衡、促進鈣吸收的「維生素D」絕對屬於最重要的營養素之一,若能藉由營養品補充,就會是非常方便的選擇。 ● 維生素及礦物質 除了胺基酸,維生素和礦物質也是人體必需的營養素,雖然需求量不多但也不可或缺;不過,維生素及礦物質來源眾多,若僅仰賴個人飲食,想要均衡攝取相當困難。
資安議題: 勒索軟體駭客竊得的資料逾9成會外流,多半用於BEC、VEC詐騙
在雲的世界中維護數位主權的策略以及Thales如何協助您從資料面達到您維護數位主權的目的。 依據協會之標準制定程序,兩案標準類草案將呈送理事會進行終審,規範及指引兩案則送交秘書處進行校稿出版。 至於聽眾在發問時間中,提到有關文化差異與社交禁忌,則是要與會者多尊重不同文化,善用會議時間管理,並在社交時間上須兼顧個人隱私,注重國際禮儀的對談等,本活動參加人數共計為32人,互動相當熱絡。 此貼文發布後受到熱烈討論,當中有人指出,其實不光是臺鐵,南投48線道路旁的電子看板,也被竄改成相同的訊息。 換言之,組織若要更具復原能力、更具韌性,應該要避免存活時間過長的家畜,同時也要避免製造更多重要的寵物。
- 因裴洛西8月初訪臺,中國駭客頻頻對臺灣發動網路攻擊的情況,財政部啟動資安警戒應變小組,動員八大行庫與事業機構,進行為期一週的高度警戒,傳出有銀行遭到攻擊的情況。
- 基於上述偵察都與中國經濟利益有關,且攻擊來源是中國清華大學的基礎設施,研究人員認為RedAlpha的攻擊很可能與中國政府有關。
- 但 Zoom 在「Zoom Bombing」還有一項設計缺失,是 Zoom 的會議ID 設計太簡陋,容易被自動化工具發現規則,讓有心人士可以快速找到進行中的 Zoom 會議並亂入。
- 無關責備,因應資安危機,消費者希望企業能正視問題、承認錯誤,並且純熟地、誠實地處理資安漏洞,這樣才能重拾顧客的信任。
- 在技術更迭越來越快速的時代,此議程將分享如何設計和實現自動化流程(DevOps)的同時納入安全的考量(Security in DevOps),包含在導入安全開發自動化流程的經驗以及如何克服挑戰。
- 因應數位科技的快速發展,落實資安風險管理,已是企業永續經營的重要一環,對此金管會也提醒,企業除應強化資安風險管理,以精實資安作業韌性外,亦可適時評估投保資安保險,以完善資安風險管理。
擁有3千萬用戶的串流影音平臺Plex通知用戶,他們內部網路遭到駭客入侵,逾半數用戶密碼資料外洩,這些資料包含了使用者名稱、電子郵件信箱,以及受到加密保護的密碼(encrypted password),但不含信用卡或支付卡等交易資料。 該公司表示,他們儲存的用戶密碼已透過bcrypt加密演算法處理,想要破解並不容易,但為防萬一,Plex要求所有用戶重設密碼,所有裝置也要重新登錄。 美國醫療保健供應商Novant Health發布資安公告,表示他們為了透過臉書廣告宣傳COVID-19疫苗接種,自2020年5月開始在網站上加入Meta Pixel(原Facebook Pixel)的程式碼,來得知臉書廣告的成效。
資安議題: 資安業者CloudSEK發現針對印度銀行用戶的網路釣魚攻擊,駭客為了避免東窗事發,他們濫用主機代管業者Hostinger提供的預覽網域(Preview Domain)功能,用來散布釣魚URL。
欲落實資安防護,培養正確的觀念非常重要,現任職於思科系統(Cisco)亞太區的雲端負責人 Stephan Neumeier 認為,資訊安全的觀念不應該只侷限在企業的資安團隊或開發團隊身上,而是全民都必須喚起資安意識,特別是年輕世代與長輩們都該理解資安的重要性。 硬體設備故障的發生,往往會伴隨著資料遺失及毀損,而硬體故障的原因很多,除了溫度、濕度、老化外,也需要考量電力不穩或天災的因素。 透過定期檢視的硬體設備狀態,隨時備份重要資料,以及設置備用電源或不斷電系統等等,可降低硬體故障機率。 硬體設備是非常明確的目標,當有心人士直接接觸到硬體設備時,就有機會竊取或破壞資料及資訊造成,如何適當地將硬體設備與外部做隔離,也是資訊安全防護規畫中必須具備的措施。 整體而言,ASM可以幫助企業全面掌握本身的資產狀態、降低資產面臨的攻擊風險、提高資產的可見性和掌握度、減少安全事件對企業的損失。 資安議題 未知資安威脅仍然是企業無法掌握的風險之一,但是企業可以運用ASM技術,從提高資產的可見性和掌握度、整合多種安全技術、建立全面的安全意識等方面入手,降低未知資安威脅對企業造成的風險和損失。
在這場演講中,講師將分享如何使用 Sandbox 產出的資料及基於經驗的分類規則,搭配機器學習的方式,找出是否有不同於既定規則的其他隱藏關係。 量子電腦的研發持續進展,未來量子電腦將可破解當今所有公鑰密碼系統,包括行之有年的數位簽章。 美國政府正在制定 PQC 後量子密碼國家標準,去年七月已選出四項演算法,未來將成為後量子密碼國際標準,全世界通用。
資安議題: CYBERSEC 2022 臺灣資安大會
高精地圖更新作業及檢核指引-靜態圖資,則利用自駕車或同等規格之資料採集車,進行數據採集、及變異存在性偵測,來進行圖資更新,以提供自駕車駕駛時可即時更新高精地圖,並提高安全性。 在重要資安事件方面,3CX VoIP系統軟體供應鏈的攻擊事故有後續消息,格外引發關注,因為3CX之所以被入侵,是因為攻擊者先入侵股票交易自動化業者Trading Technologies的網站散布被駭客竄改的X_Trader應用程式,等於是藉由供應鏈攻擊入侵,再發動影響更廣泛的供應鏈攻擊。 這些DDoS與這些置換內容的攻擊行動,多半可能不是使用高階的攻擊技術,後續還是可能持續零星發生,仍需留意。 遭受攻擊的企業組織,同時也要注意這些破口是否被更多利用,是否還有橫向移動攻擊擴散的行為,這方面的偵測、監控能力,也將是國內更須關注的面向,關鍵CI防護自然重要,其他機關與民間產業同樣需引以為戒。 資安議題2023 第四場則是由台灣經濟研究院劉柏立所長以「建構用戶隱私保護之政策、制度、技術與防護措施」為題,說明在5G環境下我國用戶隱私保護之相關政策,在制度、技術與管理面針對5G網路服務、第三方服務與IoT服務對於用戶隱私資料皆間接蒐集、儲存、處理與利用的保護。
特別的是,我們近期看到有業者公布相關調查報告,打破以往我們對金融業的印象。 第四種安全思維則是,環繞在網路空間的安全機制必須具備有效性和風險控管,他建議,可以先從網路安全進行風險評估,並且可以援引其他先進國家對於金融科技的監理規範和指引,像是PCI DSS的支付標準,或者是ISO 、ISO 27018的雲端安全標準等,都可作為參考之用。 傳統的金融業包含保險、銀行和證券等三大業務範圍,提供包括壽險、產險、消費金融、企業金融和證券股票等金融服務。 不過,萬幼筠表示,現在的社群技術、物聯網、雲端運算、身分識別技術、行動技術、機器學習、大數據和區塊鏈等新興技術,已經徹底改變傳統金融業的服務內涵,像是保險供應鏈的重組,讓傳統保險服務更為社群化、平臺化,更帶來新興的保險型態,像是線上(社群)保險、P2P保險或IOT保險等。 2022 上半年總共攔截了 630 億次威脅,威脅數量較 2021 年同期增加了 52%。
資安議題: 資訊戰
虛擬化能將昂貴的硬體資源做更有效的運用,在5G與雲端運算中已是不可逆的趨勢。 因為在效率的原則下,出問題的虛擬元件並不會一直存在那兒等著被偵測到。 另外,外媒《The Intercept》也發現 Zoom 的資安白皮書宣稱自家軟體支援了點對點加密(End-to-End Encryption),但實際上點對點加密僅在聊天室上實現,最重要的視訊會議則沒有,而 Zoom 隨後亦坦言了此一狀況。 儘管宣稱自己在所有應用程式層面,採用 256 位元 AES 加密,但多倫多大學的研究員卻發現,其視訊會議其實只採用 128 位元的金鑰,來加密用戶的視訊會議或錄音檔。
駭客的攻擊動機五花八門,有些是希望入侵企業網路來偷窺資料,有些是打算入侵含有漏洞的路由器及其他連網裝置,然後將裝置收編到他們的殭屍網路旗下。 此外,駭客還可利用這些裝置來發動其他攻擊,最有名的就是分散式阻斷服務 (DDoS) 攻擊,或從事其他不法活動,如:虛擬加密貨幣挖礦與感染幕後操縱惡意程式。 所有上述攻擊都是在裝置使用者與所在網路不知情 (更遑論同意) 的情況下發生。 在最新威脅焦點方面,假冒ChatGPT等AI工具散布惡意的情況有新的消息,光是今年3月就發現至少10個惡意軟體家族用此手法;AI技術複製聲音的威脅有竄升的跡象,如今正影響社會大眾,企業也須防範與BEC攻擊手法的混合。
資安議題: 勒索軟體BianLian以Go語言開發而成,1個多月已有9個組織受害
謝君豪認為,資訊安全的深耕對台灣來說,絕對是一條漫長的路,需要更多時間的教育與宣導。 2030 年科技與永續的議題將有越來越多的連結,當前全球在訴求的 ESG(環境、社會與治理)作為與資訊科技及資安領域的議題並不牴觸,許多 ESG 解決方案都大幅要求透過數位轉型作為節能減碳的途徑,與數位轉型產生直接及間接的關係。 如何運用資訊科技去達成永續目標,隨之而來的資安議題,企業組織要如何將挑戰變為機會,都值得高階主管及 CXO 用新的思維去思考。 隨著資訊時代來臨,人們透過軟體技術將硬體的效益發揮的更加淋漓盡致。 軟體包括的範圍很廣泛,從電腦作業系統、資料庫系統、應用程式到網站系統等,現今在工作及生活中我們已經非常依賴各種軟體來完成工作,因此當軟體環境被駭客入侵或因感染病毒等異常狀況時,對我們的影響也會非常巨大。 在這樣的趨勢之下,零信任已成網路安全防護的新焦點,加上2020年全球疫情持續至今,使得遠端工作議題重新被思考,臺灣在2021年也深受其影響,因此,對於零信任這樣的網路安全趨勢,勢必成為臺灣企業與組織,都值得參考與重視的資安思維。
在 2022 年時,NFT 與 Defi 大爆發,許多人都學習如何使用去中心化錢包來共襄盛舉。 從樂天集團的文化、內部資安團隊在集團中的角色扮演 到 擔任內部資安團隊成員的優勢,希望透過此次議程,讓有意願求職的資安人才能夠認識到不同的可能性,以及相關的職涯選擇。 XREX 資安團隊將從藍隊視角,從 2022 年 Web3 去中心化世界所面對的新興資安威脅出發,分享中心化加密貨幣交易所的實務經驗與應對方式。 此次議程將分享 DevSecOps 發展的核心理念與關鍵技術,並從人員、流程、技術與文化等不同面向,探討在導入和實踐 DevSecOps 當中可能所面臨的挑戰與機會。 本篇內容將會分享由獎金獵人的自身經驗出發,直到加入大型跨國企業協助處理與運行 bug bounty program 之後,同時獲得兩邊的知識也了解獵人與企業的難處。
資安議題: 美國緊急警報系統存在重大漏洞,恐被攻擊者用於在電視與廣播傳送假警報
這對由內部人員來處理事件的許多組織來說是一個挑戰,Falcon Complete 以積極的填補這一空白為目標。 本議程將介紹 Splunk AI 大腦如何全方位處理全方位處理來自內部、外部的資安攻擊,並防範資料外洩。 📌 3.考慮全面禁止使用:如果貴公司針對上述要點所採取的對策有所不安,則建議採取一律禁止使用的政策。 OpenAI 的隱私政策警告說,對話可能會被其AI 資安議題2023 培訓師審查以改進系統。
在這一個月的資安月報中,除了國內有微星公告部分資訊系統遭網路攻擊的消息,有3大資安議題是關注焦點,包括3CX VoIP供應鏈攻擊事件的後續,生成式AI強化資安解決方案應用增加,以及員工為了方便將企業機敏資料輸入上傳到ChatGPT的問題。 台灣國際認證資安專家協會指出,業者期望政府能就無人機處理的資訊機敏性,及無人機的飛行用途及場域等實際風險,納入資安規範的考量。 環顧國際資安認證組織或協會如ISO或是(ISC)2的資安要求或管理原則,也相當重視由資訊分類及風險管理的角度,來檢視適合組織、資訊資產、系統開發、作業環境及資訊架構的資安控制措施。 研究人員在美國黑帽大會(Black Hat USA 2022)上進行概念性驗證(PoC)攻擊,並於執行CentOS 8與Ubuntu 20.04作業系統的主機裡,透過此漏洞成功提升權限。 他們呼籲使用者要留意Linux開發團隊的公告,並儘速安裝修補軟體。 協作平臺Slack於8月4日發布資安業者,指出他們的系統出現漏洞,有可能會將使用者的加鹽密碼傳送給工作空間的其他成員,估計有0.5%用戶受到影響。
資安議題: 研究人員揭露會散布竊密軟體的PyPI套件,偽裝成音效驅動程式常駐受害電腦
但一旦方法不當,企業網路不但止不了漏,反而會讓正常的資料傳輸受到干擾。 ChatGPT本來是為了實驗及探索而開發的研究用系統,並非在使用安全性方面受到保證的獨立工具。 雖然尚有許多無法預測的部分,目前也未達組織將其深入運用在商業行為中的階段,但其快速進化所衍生出來的廣泛應用,也確實讓人期待。 此外,在使用服務供應商運用ChatGPT所提供的服務時,應確認該服務供應商有關隱私權政策的規定,因為其政策可能和ChatGPT不同。 目前這類服務的實際數量應該尚不多,請盡可能收集該服務及供應商的相關評價等資訊,以便組織能判斷其風險高低。 即使是集話題於一身的ChatGPT,也有如開發商所承認的不完美之處,可能會有自信地做出錯誤的回答,或提出虛構的想法,將非事實的內容說得煞有介事。
- 雖然零信任議題當紅,各界看重其可帶動網路安全的提升,但我們實際看待「零信任」議題時,還是有些觀念有必要先釐清。
- 若要降低這方面的風險,用戶需關注軟體的安全性更新消息,若釋出修補程式或緩解機制時,要及時進行安裝或調整設定。
- 開發中國家的政府機關很可能因為缺乏資安防護,而成為駭客的攻擊目標。
- 除非公司網站僅使用靜態頁面,網站上沒有任何商業邏輯、帳號、個資,否則應該都要使用合適的 headers 為你的資安防禦工事多築一道牆。
- 8月25日,密碼管理服務業者LastPass發布公告,他們在兩星期前於開發環境中偵測到不尋常的活動,未經授權人士透過遭駭的開發者帳號存取此開發環境,盜走部分的程式碼與專有技術資訊。
根據「國人膳食營養素參考攝取量建議(第八版)」,成年人蛋白質建議攝取量是每公斤體重0.9至1.2公克,若以平均體重60公斤計算,每天建議攝取約54公克~72公克的蛋白質,所以,想知道自己需要的蛋白質攝取量,直接計算「公克數」絕對是最直接的標準。 坊間許多優蛋白類營養品時常主打「滿足一天所需蛋白質的多少百分比」之類的廣告標語,但事實上,它的計算標準及方式並不符合每一個人的實際需求。 隨著年紀漸長,肌肉流失、體力不足的問題難以避免,連帶導致樂齡族運動量減低;而能坐就不站、能躺就不坐的生活習慣,也造成新陳代謝緩慢、排便不順暢、保護力不足等問題。 事實上,除了日常飲食,市面上也有許多營養品可以補充對的營養素,今天就來替大家整理,一些健康資訊,並聊聊挑選時應該注意哪些指標,才能在幫助長輩增加體力的同時也強化保護力。 目前於 DEVCORE 戴夫寇爾擔任紅隊演練專家的 Vtim,現年 27 歲,曾帶領過多次紅隊演練專案,擁有數十場紅隊演練經驗,也有豐富的資安競賽及國際企業漏洞獎勵計畫經驗,亦通過 OSCP、OSWE 認證,具備專業的 Web 檢測與內網滲透能力。
資安議題: 企業使用 ChatGPT 應採取的四個資安對策
開放遠距辦公除了因應疫情影響以外,也為企業組織帶來了顯著的效益,包括提高生產力、吸引和留住人才以及降低營運成本。 但是,只有在企業組織可以監控遠距辦公設備的使用狀況,以及員工確實遵守企業組織遠距辦公政策與使用規範的情況下,這些商業效益才會實現。 擁有適當專業知識、領導力、政策和戰略的企業組織可享受遠距辦公所帶來的好處,惟前提是需要制定遠距辦公相關規範並採取積極作為,以便在員工使用便利性與安全監督機制之間取得平衡,維持企業組織既有的競爭優勢。
為了對抗這些威脅,市面上出現各種解決威脅偵測和資安事端回應的新型解決方案,但是許多種解決方案提供不同的指標、報告格式和檢測方式,難以統一集中管理,並簡要地傳達企業的風險狀態。 奧義智慧是臺灣唯一一家入選 Gartner 及 IDC 報告的 AI 代表性案例企業的資安公司,憑藉累積多年的大量駭客活動數據及實戰經驗,擁有頂尖的資安科技底蘊,以研發自動化 AI 產品為目標,希望用新技術變革,改造目前企業安全環境。 本場次將帶您深入了解奧義智慧科技,一同了解奧義的企業文化、工作與成長機會,在工作中也能追求個人成長,實現有價值的工作環境。
資安議題: 勒索軟體SolidBit鎖定電玩玩家與社群網站用戶而來
資安業者Inky發現,發送釣魚郵件的駭客從5月中旬開始,濫用Snapchat和美國運通兩家公司的網域,利用開放重新導向的漏洞,將受害者導向惡意網站,企圖騙取Google Workspace或Microsoft 365帳號。 駭客分別濫用上述公司網域寄送了6,812封與2,029封釣魚信,美國運通已修補上述漏洞,但Snapchat從2021年獲報後迄今仍未修補。 針對上述的情況,內政部警政署發出聲明,表示他們於昨日22時30分,發現警察相關勤務系統無法使用,經調查是機房網路連線設備故障所致,初步排除遭到駭客攻擊,亦無民眾個資外洩。 研究人員指出,在惡意Office檔案中,駭客利用了Follina漏洞在受害電腦植入木馬程式。
本次研討會邀請國內六位知名產官學專家分享在無人機應用下之資訊安全相關議題。 第一場是科技部會報辦公室李育杰副執行秘書以「從國安、資安等議題討論我國無人機發展」為題,分享如何確保國內無人機自主開發之圖資傳輸系統、通訊設備安全防護,到連接的5G網路,從無人機晶片、酬載系統到地面導控系統之每個環節的安全。 孫雅麗認為,可信任的軟體和硬體供應鏈管理,將是未來5G資安管理最重要的關鍵議題之一,因此,所有業者從軟體設計、開發到維運過程中的品質及控管,一直到軟體更新管理,都很重要。 但她也特別強調,5G業者不僅需要可信任的軟硬體供應鏈業者,更重要的是,所有的電信營運業者都必須有能力驗證5G相關軟硬體的安全性才行。 8月30日,WordPress開發團隊發布6.0.2版,總共修補3個漏洞,其中包含CVSS風險評分達8.0分的高風險漏洞(尚未有CVE編號),此漏洞與WordPress提供的書籤(Bookmarks)有關,有可能被用於SQL注入攻擊。 資安議題 資安業者Wordfence表示,駭客要利用該漏洞的難度相當高,不只需要管理者權限,在WordPress預設組態的配置下也難以利用,但網站很有可能會因為部署了外掛程式或佈景主題而曝險。
資安議題: 資安鐵三角-CIA Triad
楊子慶說明,DEGREE 代表的是六大優先永續指標(Decarbonation、Ethics、Governance、Resource Efficiency、Equity、Employability),當企業要導入新概念,勢必面臨陣痛期。 而西門子內部的落實,則是先透過鼓勵員工抱持正面心態,再把數據透明化,與 AI 技術結合,使每個人在日常工作中都能檢視永續指標的實踐度。 在導入平台統一管理後,帶來的效果,是在既有的員工規模底下,成長了數以倍計的成交單量。 新興資通訊科技固然為人類帶來生活的便利,然而伴隨而來的卻是衍生的資安風險,其對於民眾生活、經濟活動及國家安全的影響將與日俱增。 匿名者還聲稱駭客攻陷俄羅斯「聯邦勞動與社會保障部」和俄羅斯「經濟發展部」網站,洩漏了其資料庫資料,並癱瘓了超過1500多個與俄羅斯/白俄羅斯政府、官方媒體,以及主要銀行企業網站。 美國眾議院議長裴洛西訪臺引發中國不滿,不只駭客針對政府機關發動網路攻擊,也有人伺機散布軍事演習的假消息來混淆視聽。
工業網路安全近年越來越被重視,當連接到網路的工業設備和傳感器成為潛在的攻擊目標,若無足夠重視安全措施的觀念與行動,可能會導致生產中斷、資料洩露和運營的風險。 另一方面,永續經營(Sustainable Business)亦為全球性重要議題,各個國家都比以往更重視可持續發展的原則和實踐方針。 西門子數位工業同時身為業界的製造商與服務商,協助企業透過通盤視角,打造永續與安全的最佳方案。 由於遠距工作或居家上班對各種通訊、線上會議軟體與網路等之依賴程度更高,導致了資安挑戰的增加。 除了公司無法管控遠距或居家的工作環境外,使用遠距管理工具如Windows RDP(遠端桌面協議Remote Desktop Protocol)或其他第三方服務或應用程式(如VPN或Microsoft Exchange),都讓駭客恐更容易利用第三方程式造成的漏洞來盜取資料,將企業內部資訊暴露於風險之中。 美國聯邦調查局(FBI)於8月18日發出安全公告,警告攻擊者可能會在帳密填充攻擊(Credential Stuffing Attack)的過程中,濫用代理伺服器(Proxy)或配置檔,進而自動化及隱匿攻擊的蹤跡。
講者將以自身考證經驗,分享證照不僅僅是一面徽章,更是拓展自我資安知識,並將所學運用到實際的工作業務,進而促進組織發展。 講者也將介紹SANS國際資安組織推出的GIAC證照,透過考證經驗提供與會者考取資安證照的另一項選擇。 駭客攻擊手法已從傳統入侵對外網站,演變成透過釣魚郵件或簡訊,植入惡意程式,潛伏並竊取特殊權限帳號,以存取資料庫機敏資料、執行 ATM 吐鈔等,嚴重可能會影響業務正常營運。 自 2010 年 Stuxnet 對伊朗核計劃造成實質性破壞以來,ICS 資安議題2023 安全問題不斷被提出。
資安議題: 我們想讓你知道的是
還有,若員工將安全性不足的隨身 Wi-Fi 基地台帶到工作場所使用,甚至使用不安全的 WEP 加密連線,基本上就等於讓網路暴露在危險中。 儘管將這類裝置帶到公司的員工可能無心,但公司卻可能因而遭到網路攻擊。 連網裝置預設組態不佳、出廠預設密碼太弱、加密強度不足,這些都是 IoT 裝置甚至網路遭到攻擊最常見的因素。 例如,假使監視攝影機在連上 Wi-Fi 網路時並未使用加密傳輸,那麼駭客就能偷窺攝影機所拍到的內容。 針對關鍵基礎設施的網路攻擊會導致大規模的社會混亂並帶來巨大的經濟損失。
資安議題: 事件回應
換句話說,資安長聯繫會議,將會討論一套未來彼此如何相互支援、分工的緊急應變制度,這就讓這一群資安長透過這個實體會議,發展成一個虛擬組織或是虛擬聯盟,一旦遭遇跨產業的重大資安事件時,可以快速形成一個指揮小組來應變。 林裕泰在2.0方案發布記者會上提到,資安長聯繫會議的工作包括了重大資安事件的因應,包括制度優化和指揮調度。 雖然,他沒有明講更多細節,但兩相對照方案計畫內容,聯繫會議要討論的制度優化,就是重大資安事件的虛擬指揮和應變體系的建立,因為這個聯繫會議的參加者,正是日後這個虛擬指揮體系,在各機構的主要負責人,也就是資安長。 金融資安行動方案2.0版新增了14項新措施,其中最受到關注的一項,就是資安長聯繫會議。 在1.0版要求下,截至去年底為止,銀行、保險和證券業共有75位資安長,金管會將定期舉辦這群資安長的聯繫會議。 而且未來將不只這個人數規模,金管會將要求交易量達到一定比例的業者也要設置資安長。