HITCON Pacific聚焦關鍵基礎設施安全,10國三方專家聚集分享CI資安風險應對之道



除了匯集關鍵基礎設施(CI)業者使用者和供應商三方觀點,也從企業應該了解的威脅手法和弱點管理方式,分享實務觀點,而HITCON會議則扮演臺灣接軌國際一流資安專家的平臺(圖片來源/HITCON Pacific提供)。

邁向數位國家不只是政府高舉的政策方針,也和所有民眾生活息息相關,針對企業及政府組織攻防需求為出發點的臺灣駭客年會HITCON Pacific今天(12月7日)在臺北國際會議中心舉辦,連續兩天的會議,與會者除了臺灣的企業和政府資安負責人員外,其他還有來自日本、韓國和美國等與會來賓共計超過450人,講師則來自十個國家。

HITCON Pacific會議召集人蔡松廷(TT)表示,今年首度聚焦關鍵基礎設施的安全性,從關鍵基礎設施服務提供者,到政府主管機關,甚至是一般企業比較少接觸的關鍵基礎設施安全服務提供的業者,透過每一個層面的主講者,分享第一手的經驗。

從CI防護到資安人才培訓、企業弱點管理,都是重點

蔡松廷指出,多數的資安人員熟悉的都是IT安全,對於營運科技的OT安全較不重視,但韓國KISA從2001年就制訂了關鍵基礎設施法,從法律、策略面,闡述政府對CI的管理方式,值得臺灣參考。

韓國KISA資安研究員Mideum Kim則分享韓國CI保護政策與策略,他指出,CI對民眾有重大影響,一旦遭到駭客入侵相關的工控系統,會對社會民眾各領域帶來連鎖反應,例如,當通信系統遭到駭客控制時,社會就會被孤立;核電廠遭到駭客控制時,民眾就暴露在輻射風險隱憂之中;甚至於,駭客入侵醫療或交通系統,都可能引發社會暴動。

因此,韓國將重要的關鍵基礎設施和國家行政財物安全相關的設施,都視為需要保護的系統,戰略面,則透過制訂「關鍵基礎設施法」提高位階和重視程度。

Mideum Kim表示,政府要先在法律面規範基本框架,明訂CI的漏洞評估是組織的義務,而管理階層則需要提早發現漏洞並抵擋,相關組織負責人則可以要求技術支援。他強調,該法律甚至規定CI遭駭後,應該採取哪些行動來阻止惡意行為,而入侵CI的駭客,也會被罰錢或被關。

曾經面臨日本311海嘯威脅的日本東京電力公司(簡稱東電)的資安管理人員也到現場分享,當時面對天災造成關鍵基礎設施工控系統當機風險的第一手經驗;最後,新加坡CI資安業者則會分享關鍵基礎設施防護的另一個角度。

網路威脅對世界帶來的威脅程度,已經等同於核子武器了,蔡松廷指出,韓國警政署也來臺分享如何面對與因應北韓持續不斷的網路恐怖攻擊,並分享韓國資安菁英人才培育計畫BoB數位鑑識分組的成員,如何協助南韓警方從暗網的資訊,查獲對南韓社會有害的毒品、槍枝甚至是駭客武器交易的案件。

會中也會分享對各種最新漏洞的關注,包括了HITCON CTF戰隊成員對Android手機最新漏洞的研究,也有學者深度剖析日前引發軒然大波的無線網路WPA2安全性議題,還有大家誤以為安全的電信網路,會中也有資安專家會分享如何透過SS7漏洞去攔截、竊聽所有的簡訊和通話。這些漏洞雖然都有資安產品可以阻擋,會中有位有專家則要分享如何反制這些資安產品的經驗。

資安人才培訓一直是企業和政府的痛,蔡松廷表示,日本最大電信集團NTT則分享他們如何透過內部資安人才培訓計畫,在2020年日本舉辦東京奧運之前,286培養1萬名資安專家的實務經驗。

臺灣人陌生的捷克,也有政府人員來分享,歐洲和北大西洋公約組織,如何透過模擬虛擬國家但部署真實情境的演練方式,提升政府到企業甚至是媒體面對網路恐怖攻擊的因應方式。

透過HITCON會議接軌國際一流資安專家

蔡松廷認為,HITCON Pacific是關注國家數位安全和國際接軌的重要活動,面對政府和企業缺乏對於資安策略規畫準備和管理,希望透過多方的經驗交流,為臺灣政府和企業的資安策略和規畫意識升級。

《全文請見iThome(https://www.ithome.com.tw/news/119240)》