微軟全球策略計畫副總裁柯提斯訪台 建議政府資安防護三大要務

(2015年3月17日,台北) 近年來政府遭駭客攻擊與機密外洩等資訊安全事件頻仍,國家資訊安全儼然成為另一個國安危機。台灣微軟為了協助政府擬定國家資訊安全策略發展規劃,因應行動技術、社群發展、雲端科技與大數據應用帶來的全新型態的資安威脅,特別邀請美國退役二星少將,現任微軟全球策略計畫副總裁克里斯‧柯提斯 (Chris Cortez)訪台,除了分享各國政府在資安實務與運作經驗,同時建議政府資安防護投資三大要務:1.使用並遵循國際驗證標準;2.重視並加強資訊安全政策,同時提高安全責任層級;3.持續投資並採用最新的資安技術,以降低政府機密資料外洩風險,有效防範駭客攻擊與病毒散佈,確保國家安全。

2014年全球外洩身分資料8,500萬筆  資安威脅層級與範圍俱增

近年來發生的國家資訊安全事件,像是南韓對於美國的網路滲透或是南韓核電廠遭駭客攻擊並竊取機密資訊,甚至是近日,美國前國務卿希拉蕊坦承於任期中使用私人信箱處理公務郵件等事件,不啻為各國政府敲響一記資訊安全的警鐘。

據ITRC資料外洩資料庫 (ITRC Breach database)統計,2014年全年共計發生783件身分資料外洩事件,身分資料外洩的資料筆數達85,611,528筆[1],企業與政府單位因罰金、訴訟費用或機密外洩造成龐大的金額損失。對於政府與國安機關來說,行動技術、社群發展、雲端科技與大數據應用的興起,帶來新的資訊安全的威脅,新型態的網路攻擊與惡意行為以及無可捉摸的使用者行為,已然成為政府資訊安全另一個挑戰。

提升資訊安全預算與聚焦資訊安全三大要務    確保政府資訊安全系統符合最高安全規範

雲端應用布局是否能夠符合國家資訊安全策略與規範,供應商是否善盡管理與監督之責是重要的關鍵。此外,通過符合國際安全標準的驗證,也可確保供應商能提供符合國際標準要求的資訊安全管理制度。針對政府與公共事務單位的資訊安全投資,柯提斯提出三大要務建議:

一、通過並遵循國際驗證標準: 政府的資訊安全系統應該通過 ISO/IEC 27018 國際雲端安全標準,這是全球所公認的安全作業標準。

二、重視並加強資訊安全政策,提高安全責任層級,規範資安作業流程。

三、持續投資並採用最新的資安技術:政府應該選擇具有良好安全技術、每年不斷研發投資、具備國際信譽、並通過國際安全驗證標準的供應商,以確保所建置的資安系統與架構能夠符合國際安全規範,同時能夠因應新科技帶來的資安挑戰。

基於對全球資訊安全投資的長期分析與觀察,資訊安全預算也被視為政府是否重視資訊安全的指標之一,柯提斯指出:「在美國,資訊安全預算已經躍升為所有分類預算的首位,這也代表具有成熟 IT 基礎的國家,對此一領域的重視程度逐年增加。微軟樂見政府在資安上的持續重視,並尋求更多的合作機會。」

政府應採用符合國際雲端標準的資安管理制度    有效控管資安風險

微軟身為資訊基礎架構平台技術廠商,在資訊安全上持續不斷的投資與研發,也創造了不少獨到優勢,例如:微軟在全球有一百萬台以上伺服器,可獲得遙測數據進行分析,防範攻擊於未然。少為人知的是,微軟也是僅次於美國國防部,最常遭受網路攻擊的對象,也使微軟在防堵攻擊上的技術與策略有更豐富的經驗與獨到見解。除了致力防守資安漏洞外,微軟進行可信賴的電腦運算計畫 (trustworthy computing)工作已逾12年,也是率先取得全球公認ISO/IEC 27018國際雲端安全標準的供應商。微軟對於資安的專業與厚實經驗,也廣為全球政府與國防單位所採納。

政府機構面對愈來愈猖獗且具針對性的網路攻擊該如何因應?柯提斯表示,因攻擊的層次不斷升高、範圍不斷擴大,以往防守式、單點式的資安策略已不管用。政府機構應儘早與通過國際雲端標準的供應商合作,才能有效控管資安風險,為國家機密資訊築起安全的防護網。



[1] 2014年ITRC身分竊用報告:http://www.idtheftcenter.org/images/breach/DataBreachReports_2014.pdf