沒有特權最標準!唐鳳呼籲「全民」落實資安

▲數位發展部部長唐鳳今(21)日出席CYBERSEC 2022臺灣資安大會,以大會主題「數位轉型、資安升級」做專題演講。(圖/數位發展部提供)
記者許若茵/台北報導-2022-09-21 19:34:55
數位發展部部長唐鳳今(21)日出席CYBERSEC 2022臺灣資安大會,以大會主題「數位轉型、資安升級」進行專題演講。唐鳳表示,資安是持續精進的風險管理,需要大家一起投入,同心協力,才能完善防護網,不論是政府或企業、民間組織或個人,都能秉持聯防與協作的精神,共同建立「堅韌、安全、可信賴的智慧國家」。

我是廣告 請繼續往下閱讀

唐鳳在演講中,首先透過自己的小故事,分享資安觀念中「最小特權原則」(Least Privilege)的概念,唐說,數位部8月27日掛牌後不久,她就確診了,居家隔離期間她沒有請假,照常辦公,因為疫情是建立零信任架構最好的道路。當她隔離期滿回到辦公室時,同仁正在做門禁系統自動連接打卡系統的串接測試,她發現自己登入門禁系統後,竟然擁有管理員權限,她因此向同仁反映「我可以維護你的資料,這好像那裡怪怪的」。

唐鳳指出,這其實是個有趣的場景,因為在零信任登入系統中,她沒有這類特權是最標準的作法,但有時可能因為她是部長,就設定給她某些特權,不過一來她不是資訊處人員,二來也不是維護系統人員,給予她特殊權限並不合理,在她反映後,同仁隨即修正門禁系統,拿掉她的管理員權限,遵守「最小特權原則」。

唐鳳以此為例強調,資安必須隨時落實在每個人身上,就好比戴口罩與勤洗手一樣,需有良好的風險管理,隨時意識到自己有可能是破口、成為一種風險,這也正是數位發展部強調全民數位韌性的「全民」意涵。

唐鳳指出,強化數位韌性不是只有臺灣在做,全世界也都非常關注,根據世界經濟論壇「111年全球風險報告」統計,因COVID-19 疫情對全球所造成的影響中,科技類型風險以「網路安全失效」最高,包含惡意技術利用、技術治理失靈、數位權力集中及IT基礎架構失效等等。

我是廣告 請繼續往下閱讀

唐鳳提到,為因應資安風險,我國在2021年2月發布的第六期「國家資通安全發展方案」,以打造堅韌安全的智慧國家為願景,訂出三大政策目標,分別是「成為亞太資安研訓樞紐」、「建構主動防禦基礎網路」、「公私協力共創網安環境」,並從「培植自主創研能量」、「提升關鍵設施韌性」、「主動抵禦潛在威脅」及「提升民間防護能量」等四大推動策略著手,透過培育資安人才,強化關鍵基礎設施防護等措施,最終透過公私協同合作,共同打造安全堅韌的智慧國家。

唐鳳也說,數位發展部整合資訊、資安、電信、傳播、以及網路等五大領域的業務內容,資通安全署將強化國家整體數位發展環境的資安防護、提升數位政府整體安全,並進一步推動關鍵資訊基礎設施的防護升級;數位產業署則會積極推動各行各業數位轉型,讓既有產業增加韌性、提升效率。

我是廣告 請繼續往下閱讀

我是廣告 請繼續往下閱讀