前言

前幾篇文章針對資安事件的生命週期進行介紹，而今天這篇文章將介紹政府法律有明訂相關的內容，也就是「通報應變」，在這一篇文章當中，其實作主要要做的事情，或是推薦的學習方式是：

1. 確認有哪一些機關/學校/企業已經有現成的通報應變
2. 直接研讀對應的法律、規定、流程
3. 實際進行演練，假設發生通報之後該怎麼填寫通報單

通報應變是應急措施，也是策略。讓大家知道目前企業對資安的重視，希望「預防勝於治療」。

為了確保資安事件得到適當的處理，每一個企業都應該有一套完善的通報應變流程。

什麼是通報應變（Incident Reporting and Response）

資安事件發生後，進行的系統性的通報、分析、復原和後續追蹤工作。它強調的是事件的記錄、分析、報告和學習，以改善未來的安全防護。

為什麼需要設計通報應變的流程

系統化的管理內容

希望發生資安事件的時候，有一套完善的機制，可以確保這個事件可以被迅速、系統化地處理。

可以減少混亂和延誤，也可以確保所有相關資訊都被正確記錄。

法規規定

如同前言當中，其實已經有很多政府機關、學校單位、大型企業都有對應的通報流程，主要就是因為法律、金管會有明定，在資安事件發生時進行通報和回應。

假設沒有實施可能會有罰款。

減少影響、預防擴大

有效的通報應變可以防止資安事件擴大和惡化，保護企業/機關的資產，讓企業更快的恢復正常運作。

通報可以提高資安意識與能力

面對事件的處理，在過程當中可以進行學習，透過一系列的流程組織，可以識別資安弱點，提高員工/處理人員的資安意識，也就是「下次遇到這種問題可以怎麼解決」或是「直接在防護階段先進行預防」就不會遇到問題了。

資安通報可以增加與其他企業/組織進行合作

在政府機關與學校單位其實會有聯合的平台進行管理，這樣子的好處可以有效和共同應對資安的威脅。

如何進行資安通報應變

以企業的角度可以參考 "政府機關/學校" 撰寫的資安通報應變內容，並且修改企業適用的版本。

而資安通報應變也需要定期更新。

流程

1. 偵測：目標是怎麼發現資安事件或目前已經違規行為。
   • 偵測來源
     1. 內部偵測：例如，通過內部的入侵偵測系統、防火牆、日誌管理系統等。
     2. 外部通報：例如，來自政府、學校或其他組織的SOC（安全運營中心）的警告或通報。
     3. 員工報告：員工在日常工作中發現的任何異常或疑似攻擊。
2. 分析：確認是否真的發生了資安事件，並評估其影響範圍和嚴重性。
   • 事件確認：判斷是否真的發生了資安事件。
   • 影響評估：確定受影響的系統、資料和使用者。
   • 風險評估：評估是否影響企業的財務、法律和名譽。
3. 通報
   • 根據通報系統進行撰寫內容
4. 諮詢：如有需要，請尋求資安專家的幫助以解決技術問題。

在資安事件處理到底要做哪一些事情

1. 確認機關/學校是否有規定
   • 政府機關-資通安全管理法要求
     • 建立資通安全威脅偵測及防禦機制
   • 範例
     • 經濟部資通安全事件通報及應變管理程序
       • https://law.moea.gov.tw/LawContent.aspx?id=GL000732
     • 國立成功大學資通安全事件通報及應變管理程序
       • https://cc.ncku.edu.tw/var/file/2/1002/img/1302/204533129.pdf
2. 資安通報平台：可參考各平台的內容
   • 教育機構資安通報平台
     • https://info.cert.tanet.edu.tw/prog/index.php
   • 國家資通安全通報應變網站
     • https://www.ncert.nat.gov.tw/
   • TANet CERT台灣學術網路危機處理中心
     • https://cert.tanet.edu.tw/prog/index.php
3. 資訊分享中心(情報分享/情資分享)
   • N-ISAC 國家資安資訊分享與分析中心 (僅限政府機關)
     • https://www.nccst.nat.gov.tw/NISAC
   • FISAC 金融資安資訊分享與分析中心
     • https://www.fisac.tw/
   • 交通部關鍵基礎設施資安資訊分享與分析中心(T-ISAC)
   • SP-ISAC 科學園區資安資訊分享與分析中心
   • H-ISAC 衛生福利部資安資訊分享與分析中心
4. 民間企業回報
   • twcert 台灣電腦網路危機處理暨協調中心
     • https://www.twcert.org.tw/

來源

• 可能來自
  • 學術
    • 北區學術資訊安全維運中心（A-SOC）
    • ...分成很多區域
  • 醫院
    • H-SOC
• 自己發現弱點

可以看到學術單位的能量也是非常足夠，都是可以互相學習

處理方式

• 通報應變同時處理
• 通報應變分開處理

資安事件與時效

• 一、二級資安事件（輕微）
  • 接獲後八小時內通報
• 三、四級資安事件（嚴重）
  • 接獲後兩小時內通報

資安事件告知

• Email
• 簡訊

參考事件類型

• 事件類型
  • 網頁攻擊(如：網頁置換、惡意留言、惡意網頁、網頁木馬、釣魚網頁、個資外洩等)
  • 非法入侵(如：系統遭入侵、遭植入惡意程式、異常連線、發送垃圾郵件、資料外洩等)
  • 阻斷服務(DoS/DDoS)(如：服務中斷、效能降低等)
  • 設備問題(如：設備損毀、電力異常、網路服務中斷、設備遺失等)
  • 其他(非上述事件類型資安件。請說明異常狀況)

資安通報通報內容

資通安全事件之通報內容，應包括下列項目：
一、發生機關。
二、發生或知悉時間。
三、狀況之描述。
四、等級之評估。
五、因應事件所採取之措施。
六、外部支援需求評估。
七、其他相關事項。

資通安全事件通報範例

一、發生機關
OOOOO大學

二、發生或知悉時間
2023年10月3日 14:32

三、狀況之描述
在 2023 年 10 月 03 日下午 14:00 左右，資訊處內部網路監控系統檢測到不尋常的流量模式。

系統偵測到從外部 IP 地址連續多次嘗試非法存取學生資料庫系統。

四、等級之評估
高度危險。由於攻擊對象是學生資料庫，其中含有大量的個資，若被竊取將造成嚴重的影響。

五、因應事件所採取之措施

1. 立刻中斷受影響系統的外部網路連接。
2. 啟動緊急響應小組進行資訊收集和評估。
3. 通知相關部門領導和資訊部門溝通對策。
4. 啟用備份系統以確保學生資料不受影響。
5. 紀錄攻擊的IP地址和活動模式以供後續追蹤與調查。

六、外部支援需求評估
我們需要資安顧問公司進行外部專業評估和諮詢，並與 ISP 合作追蹤攻擊源頭。

七、其他相關事項
已向警方報案，並將持續監控系統以確保不再受到攻擊。建議所有學生和教職員工修改個人密碼並啟用雙因子認證。

參考連結

• https://tnrc.edu.tw/var/file/81/1081/img/287/100.05.25-1.pdf
• https://www.tyrc.edu.tw/data/teach/lecture/%E8%B3%87%E8%A8%8A%E5%AE%89%E5%85%A8%E9%9D%A2%E9%9D%A2%E8%A7%80-%E5%BE%9E%E5%8C%97%E5%8D%80%20A-SOC%20%E7%B6%AD%E9%81%8B%E7%9C%8B%E8%B3%87%E8%A8%8A%E5%AE%89%E5%85%A8.pdf
• https://www.isac.org.tw/spaw2/uploads/files/1120526/05%20(A-SOC)v3.pdf
• https://www.ithome.com.tw/news/148572