前言
前幾篇文章針對資安事件的生命週期進行介紹,而今天這篇文章將介紹政府法律有明訂相關的內容,也就是「通報應變」,在這一篇文章當中,其實作主要要做的事情,或是推薦的學習方式是:
- 確認有哪一些機關/學校/企業已經有現成的通報應變
- 直接研讀對應的法律、規定、流程
- 實際進行演練,假設發生通報之後該怎麼填寫通報單
通報應變是應急措施,也是策略。讓大家知道目前企業對資安的重視,希望「預防勝於治療」。
為了確保資安事件得到適當的處理,每一個企業都應該有一套完善的通報應變流程。
什麼是通報應變(Incident Reporting and Response)
資安事件發生後,進行的系統性的通報、分析、復原和後續追蹤工作。它強調的是事件的記錄、分析、報告和學習,以改善未來的安全防護。
為什麼需要設計通報應變的流程
系統化的管理內容
希望發生資安事件的時候,有一套完善的機制,可以確保這個事件可以被迅速、系統化地處理。
可以減少混亂和延誤,也可以確保所有相關資訊都被正確記錄。
法規規定
如同前言當中,其實已經有很多政府機關、學校單位、大型企業都有對應的通報流程,主要就是因為法律、金管會有明定,在資安事件發生時進行通報和回應。
假設沒有實施可能會有罰款。
減少影響、預防擴大
有效的通報應變可以防止資安事件擴大和惡化,保護企業/機關的資產,讓企業更快的恢復正常運作。
通報可以提高資安意識與能力
面對事件的處理,在過程當中可以進行學習,透過一系列的流程組織,可以識別資安弱點,提高員工/處理人員的資安意識,也就是「下次遇到這種問題可以怎麼解決」或是「直接在防護階段先進行預防」就不會遇到問題了。
資安通報可以增加與其他企業/組織進行合作
在政府機關與學校單位其實會有聯合的平台進行管理,這樣子的好處可以有效和共同應對資安的威脅。
如何進行資安通報應變
以企業的角度可以參考 "政府機關/學校" 撰寫的資安通報應變內容,並且修改企業適用的版本。
而資安通報應變也需要定期更新。
流程
- 偵測:目標是怎麼發現資安事件或目前已經違規行為。
- 偵測來源
- 內部偵測:例如,通過內部的入侵偵測系統、防火牆、日誌管理系統等。
- 外部通報:例如,來自政府、學校或其他組織的SOC(安全運營中心)的警告或通報。
- 員工報告:員工在日常工作中發現的任何異常或疑似攻擊。
- 分析:確認是否真的發生了資安事件,並評估其影響範圍和嚴重性。
- 事件確認:判斷是否真的發生了資安事件。
- 影響評估:確定受影響的系統、資料和使用者。
- 風險評估:評估是否影響企業的財務、法律和名譽。
- 通報
- 諮詢:如有需要,請尋求資安專家的幫助以解決技術問題。
在資安事件處理到底要做哪一些事情
- 確認機關/學校是否有規定
- 政府機關-資通安全管理法要求
- 範例
- 經濟部資通安全事件通報及應變管理程序
- 國立成功大學資通安全事件通報及應變管理程序
- 資安通報平台:可參考各平台的內容
- 教育機構資安通報平台
- 國家資通安全通報應變網站
- TANet CERT台灣學術網路危機處理中心
- 資訊分享中心(情報分享/情資分享)
- N-ISAC 國家資安資訊分享與分析中心 (僅限政府機關)
- FISAC 金融資安資訊分享與分析中心
- 交通部關鍵基礎設施資安資訊分享與分析中心(T-ISAC)
- SP-ISAC 科學園區資安資訊分享與分析中心
- H-ISAC 衛生福利部資安資訊分享與分析中心
- 民間企業回報
來源
- 可能來自
- 學術
- 北區學術資訊安全維運中心(A-SOC)
- ...分成很多區域
- 醫院
- 自己發現弱點
可以看到學術單位的能量也是非常足夠,都是可以互相學習
處理方式
資安事件與時效
- 一、二級資安事件(輕微)
- 三、四級資安事件(嚴重)
資安事件告知
參考事件類型
- 事件類型
- 網頁攻擊(如:網頁置換、惡意留言、惡意網頁、網頁木馬、釣魚網頁、個資外洩等)
- 非法入侵(如:系統遭入侵、遭植入惡意程式、異常連線、發送垃圾郵件、資料外洩等)
- 阻斷服務(DoS/DDoS)(如:服務中斷、效能降低等)
- 設備問題(如:設備損毀、電力異常、網路服務中斷、設備遺失等)
- 其他(非上述事件類型資安件。請說明異常狀況)
資安通報通報內容
資通安全事件之通報內容,應包括下列項目:
一、發生機關。
二、發生或知悉時間。
三、狀況之描述。
四、等級之評估。
五、因應事件所採取之措施。
六、外部支援需求評估。
七、其他相關事項。
資通安全事件通報範例
一、發生機關
OOOOO大學
二、發生或知悉時間
2023年10月3日 14:32
三、狀況之描述
在 2023 年 10 月 03 日下午 14:00 左右,資訊處內部網路監控系統檢測到不尋常的流量模式。
系統偵測到從外部 IP 地址連續多次嘗試非法存取學生資料庫系統。
四、等級之評估
高度危險。由於攻擊對象是學生資料庫,其中含有大量的個資,若被竊取將造成嚴重的影響。
五、因應事件所採取之措施
- 立刻中斷受影響系統的外部網路連接。
- 啟動緊急響應小組進行資訊收集和評估。
- 通知相關部門領導和資訊部門溝通對策。
- 啟用備份系統以確保學生資料不受影響。
- 紀錄攻擊的IP地址和活動模式以供後續追蹤與調查。
六、外部支援需求評估
我們需要資安顧問公司進行外部專業評估和諮詢,並與 ISP 合作追蹤攻擊源頭。
七、其他相關事項
已向警方報案,並將持續監控系統以確保不再受到攻擊。建議所有學生和教職員工修改個人密碼並啟用雙因子認證。
參考連結