國家資安報告:勒索軟體攻擊鎖定大企業或關鍵基礎設施

行政院發佈去(109)年國家資通安全情勢報告發現,勒索軟體攻擊肆虐全球,我國公私機關部門亦難倖免於外,攻擊對象也從過去隨機攻擊,轉變成鎖定大型企業政府關鍵基礎設施領域目標式攻擊,109年某機關就曾遭受勒索軟體攻擊,造成三級資通安全事件

不過,去年政府機關通報資安事件爲525案,近三年來看,有下降趨勢,大前(107)年爲754件,前(108)年674件。資安事件依所造成的機密性完整性可用性衝擊嚴重度分級,去年525案中,最輕一級事件共451案、二級65案、三級9案,並無四級事件,其中非法入侵佔68.76%爲最大宗,其餘還包含網頁攻擊、設備問題、阻斷服務等。

行政院每年定期公佈國家資通安全情勢報告,報告表示,勒索軟體會藉由加密檔案,致使受害者無法正常使用電腦,影響業務運作,進而達到勒索贖金目的,攻擊對象也從過去隨機攻擊,轉變成鎖定大型企業或政府關鍵基礎設施領域的目標式攻擊。

舉例來說,去年某機關發現遭受勒索軟體攻擊,駭客經暴力破解設備維護廠商使用的帳號密碼,再橫向擴散至其他設備,利用勒索軟體加密資料,致相關資通系統無法於可容忍中斷時間內恢復運作,造成三級資通安全事件。另外,在能源領域也發現勒索軟體攻擊案例,是駭客入侵公司系統長期潛伏及探測,最終利用勒索軟體加密重要檔案,以要脅鉅額贖金。

面對勒索軟體攻擊成爲常態,報告強調,如何制定應變措施,以縮短災害復原耗費的時間將成爲關鍵。建議各機關應落實系統弱點修補,及軟韌體更新作業,在設定系統登入密碼時應符合複雜性原則網路架構上應有適當區隔存取控制,重要資料應建立異地備份備援機制,定期辦理營運持續演練,降低資通系統遭受勒索軟體攻擊的風險,並強化機關成員的資安意識,避免點擊來路不明的檔案或連結。

政府機關面臨的五項資安威脅,包含持續出現個資遭泄案例、勒索軟體阻斷系統服務運作、物聯網設備因韌體未更新遭植入惡意程式進階持續性威脅攻擊竊取機敏資料、及政府機關委外供應鏈遭駭侵。

有關持續出現個資遭泄案例,報告顯示,某機關曾因廠商誤將未經遮罩的敏感資訊上傳網站,致民衆個資外泄,建議各機關應加強同仁對個資管理的教育訓練,定期檢視同仁存取個資及機敏資料的權限設定,建立資料上傳審覈流程,加強防護敏感資料檔案。

此外,因應疫情需求所蒐集的實名登錄個資,應指定專人辦理並善盡資料保護責任,落實管控與刪除銷燬作業。