去年政府资安通报765件5年新高

整合产业、服务产业、发展产业

去年政府资安通报765件5年新高

2023-07-19 〔记者徐子苓/台北报导〕
政府资安事件通报数创五年新高
政府资安事件通报数创五年新高

较严重三级事件占4.83% 近4年最高
〔记者徐子苓/台北报导〕政府单位频遭网路攻击,根据数位发展部统计,二○二二年政府资安事件通报达七六五件,为近五年新高,通报类型以「非法入侵」为大宗,较严重的三级事件占四.八三%,占比为近四年新高,多与资料外泄有关。数位部指出,资安事件通报量增加,显示机关的通报意识已逐步强化。

数位部资安署表示,台湾因政经情势特殊,遭受境外网路攻击从未消退,加上新形态攻击层出不穷,资安署持续推动政府机关落实资安防护作业、提高法遵通报意识,以掌握威胁趋势,并协助机关迅速应处,提高整体资安防护能量。

数位部统计「非法入侵」为大宗

数位部发布「二○二二年国家资通安全情势报告」,去年公务机关与特定非公务机关(公营事业、财团法人及关键基础设施提供者)通报资安事件七六五件,其中一级事件近八成(六○八件)最多,二级事件占十五.七%(一二○件),三级事件占四.八三%(三十七件),四级事件则挂零。

数位部分析,通报类型以「非法入侵」占四十七.八四%最多,「设备问题」占二十二.七五%次之,另还有网页攻击三.七九%、阻断服务二.八八%等。至于通报事件发生原因,前三名为设备异常或毁损、弱密码或密码遭暴力破解、网站设计不当。

第三级事件「资料外泄」居多数

资安法将资安事件分为四级,第一级最轻微,第四级最严重。报告指出,去年通报的第三级事件以「资料外泄」事件居多,主要原因包含人员资安意识不足、不当操作或设定、误将未遮蔽的个人资料公开,或错置于未限制存取的公开区域等。

例如某机关委托厂商办理竞赛活动,并提供活动资讯,栏位包含参赛人员姓名与行动电话号码等,厂商工作人员为协助宣传活动成果,将参赛人员资讯上传至个人公开网站,造成个资外泄。

报告还建议,「供应链安全」应列为各机关关注议题,避免供应商遭锁定为攻击目标后,成为骇客入侵的跳板,并横向感染而波及政府机关;开放供应商连线时,应先进行相关风险评估,辅以妥善的管理机制,才能开放存取。

选单

热门推荐