交通部114年度「交通科技研究發展」項下新增「交通領域工業控制系統資安整備計畫」1,060萬元。經查:
(一)交通領域工業控制系統資安整備計畫概述
交通部為配合第6期國家資通安全發展方案,刻正實施「交通領域關鍵基礎設施資安整備計畫(110-113年)」(以下簡稱前期計畫),該計畫將屆期,數位發展部資通安全署為下一階段之國家資通安全發展方案,爰推動深化資安跨域整合聯防計畫(114-117年),交通部主責其下之子計畫「交通領域工業控制系統資安整備計畫(114-117年)」(以下簡稱新一期計畫),主要辦理事項如下:1.延續前期計畫規劃之交通領域工業控制系統資安職能學習地圖,推動課程並辦理評量,增強交通領域OT從業人員資安意識、2.透過T-ISAC、T-CERT、T-SOC平台相互配合,達到資安事件之資安聯防機制、3.以實地稽核方式檢視所管機關之資安合規及成熟度。新一期計畫之期程114至117年,計畫總經費5,076萬7千元(114年度1,060萬元、115年度1,338萬9千元、116年度1,338萬9千元及117年度1,338萬9千元)。
(二)允宜定期盤點所主管機關適用交通資安職能地圖之取證情形,以提高相關人員之資安素質
交通部刻正辦理前期計畫,已完成交通領域工業控制系統資安職能地圖(以下簡稱交通資安職能地圖),陸續辦理CI提供者攻防演練、資通安全實地稽核、交通領域資安情資交換、資安事故回應、異常預警等事項,其中交通資安職能地圖之適用對象包括交通領域從事工業控制系統之營運技術(Operation Technology; OT)實務工作並擔任ICS主管、ICS系統管理、ICS開發維護及ICS操作等角色之人員,學員依職能地圖完成學習時數後,經評量通過後取得證書。
據交通部於112年6月間首次統計所主管各機關依交通資安職能地圖取證情形,各機關應取得資安職能課程證書人數為680人,已取證48人,已完成課程未取證229人,取證人數仍待提升,雖113年8月取證人數已提高為318人(詳表1),惟交通部已逾一年未盤點所主管機關應取證人數等基本數據,允宜定期盤點,並督促所主管機關之適用人員持續學習取證,提高資安素質。
表1 交通部主管機關交通資安職能地圖資安課程取證概況表
機關名稱
112年6月間盤點結果
截至113年8月底止
應取證人數
已取證人數
取證不足人數
已完成課程未取證人數
已取證人數
交通部公路總局(含所屬)
55
6
49
38
35
交通部中央氣象局(含所屬)
6
0
6
1
4
交通部高速公路局(含所屬)
8
1
7
7
8
台灣高速鐵路股份有限公司
11
10
1
1
21
交通部臺灣鐵路管理局
158
2
156
5
9
臺北大眾捷運股份有限公司
167
10
157
63
49
新北大眾捷運股份有限公司
59
0
59
3
19
桃園大眾捷運股份有限公司
9
3
6
1
6
臺中捷運股份有限公司
4
0
4
4
0
高雄捷運股份有限公司
14
0
14
0
44
桃園國際機場股份有限公司
77
2
75
8
5
臺灣港務股份有限公司
112
14
98
98
118
合計
680
48
632
229
318
資料來源:交通部提供資料;本中心整理。
(三)允宜落實資安管控,俾提高整體資安防護
據交通部表示,該計畫透過T-ISAC系統向交通部主管其他機關分享資安情資,以達成領域內情資分享,並向上透過數位發展部資通安全署N-ISAC分享資安情資,以達成跨領域及國際間情資分享,容待落實資安管控,俾確保情資分享時有足夠之資安防護。
綜上,為持續使關鍵基礎設施在面臨資安事件能順利完成事前安全防護、事中緊急應變及事後復原作業,爰續於114年進行交通領域工業控制系統資安整備計畫,鑑於資安人員之資安素養攸關該計畫之實施成效,允宜定期盤點交通部所主管機關適用交通資安職能地圖之取證情形,並督促其依規定受訓學習取證,以提高資安素質,並落實資安管控,俾面臨資安事件時交通樞紐維穩運作。