政府要补助企业做完整资安检测啦,最低只要自费一万!

  2020-07-12  阅读 406 views 次 点赞数440

政府要补助企业做完整资安检测啦,最低只要自费一万!

在数据科技(Data Technology)年代,数据不只是企业最宝贵的资产,也是骇客眼中最值钱的生财工具,也因此近年来的资安攻击事件越来越多,规模也越来越大。

资安风险最高的时代!近年大型资安攻击数不胜数

举例来说,晶圆厂龙头台积电素来与资安新闻绝缘,但是在8 月3 日却爆发晶圆厂生产机台因为电脑中毒,导致部分产线停摆,虽然事发后,台积电紧急动员上百名资安工程师清除病毒,却仍旧让产线停工了一天半左右,估计约新台 幤 52亿元的损失。

根据台积电的说法,此次中毒事件是因为,新机台在安装软体的过程中操作失误,也就是协力厂商或是台积电员工,未按照装机SOP 程序进行病毒扫描,使得病毒潜伏于全新的机台系统中,藉机进入台积电内部网路进行大规模扩散、感染,最终导致产机停工。

此外, 2016 年在台湾喧腾一时的第一银行ATM 盗领案,主谋的骇客集团首领在今年初于西班牙落网,相关的犯案工具与手法也跟着曝光。

根据欧洲刑警组织( Europol)调查,该集团从2013 年开始从事金融犯罪,透过Carbanak 与Cobalt 等两款恶意程式攻击全球逾40 个国家的金融组织,首先骇客会发送钓鱼邮件给银行内部员工,当员工开启邮件下载附档或点选网址连结,恶意程式就会跟着被植入电脑中,骇客便能藉机入侵银行的内部网路,同时感染控制 ATM的伺服器,取得让ATM 自动吐钞所需的资讯,藉由这样的攻击手法,该集团成功地谋取非法利益,造成全球金融业将近  10 亿欧元(约  368 亿元新台币)的损失。

除此之外, 2016 年亦有恶名昭彰的病毒入侵世界55 万个IoT 节点,进行无差别DDoS 攻击,并利用了被病毒感染的设备协同进行攻击,又或者是让人印象深刻的Wannacry 病毒攻击,对没有及时更新电脑习惯的台湾中小企业造成严重打击。

从上述资安事件来看,就算企业规模大如台积电、第一银行,拥有上百名资安工程师与各式资安防护解决方案,也依然无法做到零风险,而企业员工、中小企业主的资安知识缺乏,更会让公司遭到超乎预期的资安损失,如何找出现有资安防御漏洞,据此规划适当的资安架构及作业流程(SOP),将是企业资安升级的当务之急,

加强资安是时代所趋,没有企业能避免

日前,国内三读通过了《资通安全管理法》,规範国内特定基础设施提供商要做好资安应变,若是发生资安事件未通报,最高可罚至台币500 万元罚锾,可以解读成政府透过立法,希望全面提升台湾企业整体资安意识,但如何提升企业自身的资安防护?这其实是个困难的命题。

综合今年各大国际资安报告的内容来看,资安防护解决方案部署的种类或数据,与资安水準高低不一定是正向关係,换句话说,企业部署的资安解决方案越多,不代表资安水準越高。

企业资安水平的检视,需要从更多面向去看,不是数数看已经导入几个资安解决方案这幺简单,必须从现行业务流程、 IT架构、内部是否具备资安人才、员工资安意识、企业领导人对于资安的正确认知等面向进行综合评估,确认好目前的资安防御水平后,再根据不足之处,导入适当的资安解决方案,才能真正强化资安防御能力。

不过,企业在检视自我资安水平时,除了由内部稽核或资安人员来进行,最好还能寻求第三方机构的协助,才能找出自身看不见的盲点,因此中华民国资讯软体协会(以下简称软协)受经济部工业局委託,提供产业资讯安全检测诊断服务。

产业资讯安全检测诊断,政府出钱帮你找出资安缺失

软协表示,经济部工业局为了落实「资安即国安」概念,于  107 年「新兴资安产业生态系推动计画」中开出40 个补助名额,大力推动产业资讯安全检测诊断服务。

目前,这项计画将提供「资讯安全风险现况评估」、「主机弱点扫瞄」、「资讯设备组态基準」、「网路封包侧录分析」等4 项专业检测服务,且将会开出非常优渥的补助,让企业主可以不需要担心价格,透过检测确认自身企业资安体质。

针对此项计画,软协目前将企业分为A(101 IP 以上 ~200 IP 以内)、 B(20 IP以上 ~100 IP以内)两型,针对A 型提供14 万的检测计画,但政府补助其中10 万,企业只需自行负担4 万元,而B 型企业则是9 万元,其中8 万由政府补助,企业只需自行负担1 万元!

软协这项计画,帮助了台湾企业掌握自身的资安防护现况,并了解如何强化、改善及建立预防措施,全面协助台湾企业进行资安升级。若有相关需求的企业请参阅以下的申请须知及申请书。

申请须知: 下载连结

申请书: 下载连结

资安防御从「人」开始,定期教育训练才能深耕资安意识

除了对现有的资安防护进行全面检测,企业若想进一步强化资安能量,还可以从「人」做起。

包括企业 CEO、各级主管、甚至员工,都应该定时进行资安相关教育训练,了解最新的资安攻击手法或防御知识,例如:软协即将在9 月份举办 工业控制系统资安防护研讨会 ,协助企业了解关键基础设施的潜在风险及防御之道,唯有不间断地学习,才能让企业内部从下到上所有员工,人人都具备资安意识,在开启电子邮件的附档或网址连结时,能够多一份警觉心,减一分恶意程式入侵的机会。

此外,企业也必须加强资安人才的相关培训,让他们学习最新的防护技术,了解骇客如何思考、如何攻击,像软协即将在9~10 月举办年度「新兴资安产业生态系计画」:资安专业人才培育,包含:资安攻防与监控、资安法规与制度研析,工控系统资安防护等实务课程 ,协助企业资 安 人才培养骇客思维,间接完成企业资安防护的升级,毕竟知己知彼、百战百胜,才是资安攻防里亘古不变的道理。

更多资安培训活动

ICS/SCADA 资讯安全实务课程(10 月高雄场)

资安攻防与监控实务课程

工业控制系统资安防护研讨会

(经济部工业局广告)

资安防护,最重要的事

为什幺所有大企业都在强化「隐私条款」?因为资安攻击一年可以毁掉台湾 5% GDP

台湾企业大调查:逾六成金融业今年急需资安人才,大家快应徵啦!

踏入资安界懒人包!从重要关键字到在地社群,刷过一轮才能跨过入门砖

上一篇: 下一篇:
相关文章