概要
對於資訊安全的渴求,是快速且大幅數位化的持續需求,據《財富商業洞察》(Fortune Business Insights) 調查,全球資安產值於 2022 年達 1,536.5 億美元。且 2030 年前,逐年將以 13.8% 的速度增長(FBI,2023)。
以往電腦系統位於本機端,資訊安全防護是透過防火牆和入侵偵測系統 (Intrusion-detection System, IDS) 將駭客阻絕在外,如同「護城河」(Castle and Moat) 隔絕來自「外網」人士存取使用數據(CF,ND)。而自 2010 年以來,如雲端平台、物聯網產品和工業控制系統 (Industrial Control System, ICS) 等廣泛應用的第三方服務興起,公私部門機逐漸將敏感資訊委託存於外部主機(Ehrlicher,2021)。
因此駭客利用網路內部過時的絕對信任模型來謀取自己的利益。2000 年代初,駭客多為孤狼式行動,癱瘓系統目的是為了尋求惡名,自 2010 年後,改以團體模式透過入侵系統勒索贖金獲取巨額的利潤(Forrester,2021)。據線上資料庫平台 Statista 統計,單就美國 2022 年,每起「勒索軟體」(Ransomware) 事件,因數據外洩導致額外成本平均為 944 萬美元,全球網路犯罪產值更高達 8.4 兆美元(Petrosyan,2022)。
攻擊行動
此外,利益導向的「一般駭客」與「政府資助的駭客組織」分際愈加模糊。根據美國國防部 (US Department of Defense, DoD) 報告指出,特定政府允許僱用駭客從事網路犯罪,甚至放任並鼓勵境內對境外網路攻擊作為硬實力展示。(Lopez,2021),據瞭解,政府主要目的集中於癱瘓關鍵基礎設施、收集數據和勒索贖金(CSIS,ND)。
為此,各國政府積極與私部門合作,強化關鍵基礎設施週邊安全機制、加強資訊共享和網路架構,及藉由增進訓練和採用人工智慧提升資安人才素質,全面改善網路安全。
關鍵基礎設施
根據歐盟執委會 (European Commission) 定義,關鍵基礎設施是指「維持重要社會功能所必需的資產或系統」(EC,ND)。將概念套用於網路安全,意指保護電力網路、供水系統、衛星通訊和政府機構等設施免於網路攻擊(Delcker,2022)。以往多數關鍵基礎設施的運算系統是建立在機構內部主機端,現今因 ICS 允許商業網路遠端執行關鍵基礎設施,導致被攻擊可能性大幅提升。據美國政府責任署 (US Government Accountability Office, GAO) 表示,駭客現在可以藉由惡意郵件中的附件和虛擬私人網路 (Virtual Private Network, VPN) 間的漏洞,進入企業內網直接攻擊 ICS 的連網設備(GAO,2023)。
如今單一系統(例如電力網路)多半牽涉眾多公私部門,致使保護關鍵基礎設施愈加困難;以及私部門同時掌管及營運眾多關鍵基礎設施系統,導致網路安全標準變得更加難以維護。為此,歐盟於 2022 年公布《網路與資訊系統安全指令》(NIS 2 Directive),新補充指令包含「解決供應鏈安全問題」和「引入更嚴格的監管措施和執法要求」來應對近期特定國家針對他國公私部門的網路攻擊。(EP,2022)。
制定法案
公部門試圖尋找符合成本效益的方式,強制要求參與關鍵基礎設施的私部門提高網路安全標準。例如,泰國政府加強保護金融系統力度,及建構更完善的攻擊通報系統。泰國國家新聞局 (National News Bureau of Thailand, NNT) 表示,已建立由泰國國家警察、政府金融機構協會、泰國銀行家協會和 21 家銀行成員系統,連結不同攻擊事件之間的關係,以加速取得拘捕令(NNT,2022)。
為加強網路安全,公私部門正在適應雲端運算將為新常態。例如,俄羅斯近期資助駭客對聲援烏克蘭的國家機構進行報復,網路安全公司 CyberCX 表示 ,紐西蘭近期更易遭受「勒索軟體、資料竊取勒索和分散式阻斷服務攻擊(DDoS)的威脅」(Morrison,2022)。因此,許多機構正在資安系統中建立「零信任架構」(Zero-trust Architecture),其以「每筆交易都會防範使用者及裝置設備」來保障使用者獲得數據的訪問權限(Raina,2023)(IBM,ND)。相對於傳統網路安全「護城河」模型機制,一旦通過驗證即無限制給予訪問權限。
儘管已有相應安全規範,現今供應和需求之間明顯存在巨大的差距,根據世界經濟論壇統計,全球仍缺乏約 340 萬名專業資安人員(Xie,2023),其同時需具備軟硬體實力,以從事設計、實施和更新複雜的零信任架構資安系統(Poremba,2023)。
澳洲中央聯邦政府為此採取多項舉措來培訓資安專家。如「網路安全國家增長計畫」獲「網路安全技能合作創新基金」(Cyber Security Skills Partnership Innovation Fund) 挹注 7,030 萬澳幣資助人員培訓、養成學徒制與各式實習。甚至預劃擴展 STEM 相關學術的網路安全教育,提供更強力的技能和培訓基礎(DFAT,ND)。
簡言之,公私部門需要採用人工智慧 (Artificial Intelligence, AI) 和機器學習 (Machine Learning, ML) 來彌補網路安全專業人才短缺問題,並解決「威脅氾濫和工具繁瑣」的問題(Sharma,2023),此舉將有助於公私部門縮短與日益嚴重網路犯罪間之差距。例如,資安專家現在使用 AI 來綜合大量的資訊,以識別日誌事件和網路流量數據中的威脅,並為客戶和機構提供改善數據安全和遵從合規的建議(IBM,ND)。或許有朝一日,資安專家能利用 AI 建立自動防禦機制以擺脫制式化工作,並能專注於改善工作流程(MC,2022)。
接續兩篇將探討新南向國家因應國際網路安全的趨勢及所採取措施。
參考來源: