HITCON Pacific聚焦關鍵基礎設施安全，10國三方專家聚集分享CI資安風險應對之道

除了匯集關鍵基礎設施（CI）業者使用者和供應商三方觀點，也從企業應該了解的威脅手法和弱點管理方式，分享實務觀點，而HITCON會議則扮演臺灣接軌國際一流資安專家的平臺（圖片來源／HITCON Pacific提供）。

邁向數位國家不只是政府高舉的政策方針，也和所有民眾生活息息相關，針對企業及政府組織攻防需求為出發點的臺灣駭客年會HITCON Pacific今天（12月7日）在臺北國際會議中心舉辦，連續兩天的會議，與會者除了臺灣的企業和政府資安負責人員外，其他還有來自日本、韓國和美國等與會來賓共計超過450人，講師則來自十個國家。

HITCON Pacific會議召集人蔡松廷（TT）表示，今年首度聚焦關鍵基礎設施的安全性，從關鍵基礎設施服務提供者，到政府主管機關，甚至是一般企業比較少接觸的關鍵基礎設施安全服務提供的業者，透過每一個層面的主講者，分享第一手的經驗。

從CI防護到資安人才培訓、企業弱點管理，都是重點

蔡松廷指出，多數的資安人員熟悉的都是IT安全，對於營運科技的OT安全較不重視，但韓國KISA從2001年就制訂了關鍵基礎設施法，從法律、策略面，闡述政府對CI的管理方式，值得臺灣參考。

韓國KISA資安研究員Mideum Kim則分享韓國CI保護政策與策略，他指出，CI對民眾有重大影響，一旦遭到駭客入侵相關的工控系統，會對社會民眾各領域帶來連鎖反應，例如，當通信系統遭到駭客控制時，社會就會被孤立；核電廠遭到駭客控制時，民眾就暴露在輻射風險隱憂之中；甚至於，駭客入侵醫療或交通系統，都可能引發社會暴動。

因此，韓國將重要的關鍵基礎設施和國家行政財物安全相關的設施，都視為需要保護的系統，戰略面，則透過制訂「關鍵基礎設施法」提高位階和重視程度。

Mideum Kim表示，政府要先在法律面規範基本框架，明訂CI的漏洞評估是組織的義務，而管理階層則需要提早發現漏洞並抵擋，相關組織負責人則可以要求技術支援。他強調，該法律甚至規定CI遭駭後，應該採取哪些行動來阻止惡意行為，而入侵CI的駭客，也會被罰錢或被關。

曾經面臨日本311海嘯威脅的日本東京電力公司（簡稱東電）的資安管理人員也到現場分享，當時面對天災造成關鍵基礎設施工控系統當機風險的第一手經驗；最後，新加坡CI資安業者則會分享關鍵基礎設施防護的另一個角度。