資安署114年度預算案「資通安全業務」工作計畫編列5億4,095萬5千元,辦理國家資通安全政策之規劃、資通安全事件應變處理、輔導及培訓機關資安能量、各級政府資安稽核、攻防演練及推動相關資安計畫等。經查:
(一)近年我國面臨資安全風險概況
趨勢科技公司2023年8月31日揭露駭客組織Earth Estries自年初開始針對臺灣、美國、德國、南非、馬來西亞等政府機關與科技業者下手,運用多種後門及降級攻擊,藉此閃避偵測系統;迄2024上半年,據情資專家分析,亞太資安態勢持續動盪,網攻機率攀高,而臺灣、南韓及日本名列前三大受害國家,飽受進階持續性攻擊(advanced persistent threat,APT)危害。
另國內業者iThome公布「2024企業最需警戒的資安風險」之調查,彙整我國企業未來1年5大資安風險,按風險高低順序分別為社交工程手段、勒索軟體資安事件、釣魚網站、駭客及資安漏洞(零時差漏洞攻擊)事件;政府學校除遭受上述風險外,更面臨國家級攻擊組織、駭客與網路犯罪者之攻擊。
(二)公務機關112年資安稽核結果發現部分機關資安作業存有相關缺失,應追蹤受稽核機關後續改善情形,適時給予輔導
依資通安全管理法第5條第1項規定,主管機關應定期公布國家資通安全情勢報告、對公務機關資通安全維護計畫實施情形稽核概況報告等,112年度稽核結果發現主要缺失如下:
1.技術檢測:共計15個公務機關受測,其中13個機關核有相關缺失,包括使用者電腦未落實執行安全性更新、物聯網設備未落實執行重大CVE漏洞軟/韌體更新修補、資料保護機制不完備以及未使用加密方式儲存與傳輸機敏資料等。
2.實地稽核:共計24個公務機關接受稽核,其中17個機關核有相關缺失,包括資通系統及資訊盤點完整性不足、第三方驗證範圍未適時調整或有部分核心系統未納入驗證範圍、委外管理仍待加強、內部稽核機制待改善,及未落實執行資安事件通報及應變程序等。
主管機關應追蹤受稽核機關後續改善情形,適時給予輔導,並促請該等機關落實強化資安防護工作,以精進資安防護水準。
綜上,隨科技日新月異與國際情勢影響,資安風險及威脅態樣更趨多樣化,除由各機關落實安全管理措施外,資安署允宜督導並協助機關完備相關防範措施,以有效降低資安風險。