2013年4月29日 星期一

國安局:攻擊38%來自本地 嵌入式系統成新目標

國安局:攻擊38%來自本地 嵌入式系統成新目標


日前南韓攻擊事件以及美聯社Twitter帳號被盜等資安事件對當地造成股市大跌、影響金融社會秩序等重大衝擊。國防部、國安局與行政院資安辦今(29)日在立法院提出因應報告並接受質詢,立法委員蕭美琴、林郁方等提出5臨時提案,要求上述單位能積極培育並網羅資安人才、公布演練成效、強化關鍵基礎建設保護等。

國安局副局長張光遠表示,目前遭受攻擊的主要對象已從政府機關、駐外館處,擴大到民間智庫、電信業者與委外廠商,而主要攻擊標的也轉向包括車輛交通號誌儀控設備、寬頻路由器、工業微電腦控制器、網路儲存系統等嵌入式系統上。張光遠進一步指出,許多工業電腦由於沒有防火牆保護因而成為駭客攻擊中繼站。根據國安局調查,目前的攻擊僅4.9%是直接來自於對岸,38%是以台灣本地的殭屍電腦或其他周邊國家電腦做為攻擊跳板,因此面臨10萬網軍,台灣雖然也有相關資訊戰部隊,卻無法直接「打回去」。

而上周高鐵發生控制訊號系統故障也成為質詢焦點,儘管此次事件已排除網軍所為,然立委認為民生關鍵基礎建設、嵌入式系統等弱點頻傳,因此提案要求國土安全辦公室主責統籌調查、資安辦協助辦理。

此外,美國、印度、澳洲政府已陸續要求政府機關避免採購中興與華為網通設備,蔡煌瑯、陳歐珀等人也關注台灣是否跟進,行政院資安辦蕭秀琴主任表示此事正在彙集各部會研議中。而政府機關本身今年的資安防護重點,包括今年起技服中心將以二線監控為主,並轉型為資安服務專案辦公室,以協助各機關導入資安SOC監控服務,以及今年將邀集政府、民間機關擴大辦理網路攻防演習等。為了讓各部會更加重視資安,立委也提案具體要求資安辦每六個月在行政院重要月會上公布演練成績單,包括各部會社交工程演練成果以及各部會資通安全通報演練成果。

資安人力始終是問題根本,有鑒於目前歐美、南韓及中國均競相積極培育資安人才,因此相關提案也包括國防部將在各軍事院校設立資訊安全專門系所,培育人才;同時應解決政府公務機關招募方式過於僵化的問題,以加速進行民間網路、資安專才的網羅與搜尋,將由資安辦、國防部、國安局並列負責。

轉載自《資安人科技網》