HITCON Pacific聚焦關鍵基礎設施安全,10國三方專家聚集分享CI資安風險應對之道

除了匯集關鍵基礎設施(CI)業者使用者和供應商三方觀點,也從企業應該了解的威脅手法和弱點管理方式,分享實務觀點,而HITCON會議則扮演臺灣接軌國際一流資安專家的平臺(圖片來源/HITCON Pacific提供)。
邁向數位國家不只是政府高舉的政策方針,也和所有民眾生活息息相關,針對企業及政府組織攻防需求為出發點的臺灣駭客年會HITCON Pacific今天(12月7日)在臺北國際會議中心舉辦,連續兩天的會議,與會者除了臺灣的企業和政府資安負責人員外,其他還有來自日本、韓國和美國等與會來賓共計超過450人,講師則來自十個國家。
HITCON Pacific會議召集人蔡松廷(TT)表示,今年首度聚焦關鍵基礎設施的安全性,從關鍵基礎設施服務提供者,到政府主管機關,甚至是一般企業比較少接觸的關鍵基礎設施安全服務提供的業者,透過每一個層面的主講者,分享第一手的經驗。
從CI防護到資安人才培訓、企業弱點管理,都是重點
蔡松廷指出,多數的資安人員熟悉的都是IT安全,對於營運科技的OT安全較不重視,但韓國KISA從2001年就制訂了關鍵基礎設施法,從法律、策略面,闡述政府對CI的管理方式,值得臺灣參考。
韓國KISA資安研究員Mideum Kim則分享韓國CI保護政策與策略,他指出,CI對民眾有重大影響,一旦遭到駭客入侵相關的工控系統,會對社會民眾各領域帶來連鎖反應,例如,當通信系統遭到駭客控制時,社會就會被孤立;核電廠遭到駭客控制時,民眾就暴露在輻射風險隱憂之中;甚至於,駭客入侵醫療或交通系統,都可能引發社會暴動。
因此,韓國將重要的關鍵基礎設施和國家行政財物安全相關的設施,都視為需要保護的系統,戰略面,則透過制訂「關鍵基礎設施法」提高位階和重視程度。
Mideum Kim表示,政府要先在法律面規範基本框架,明訂CI的漏洞評估是組織的義務,而管理階層則需要提早發現漏洞並抵擋,相關組織負責人則可以要求技術支援。他強調,該法律甚至規定CI遭駭後,應該採取哪些行動來阻止惡意行為,而入侵CI的駭客,也會被罰錢或被關。
曾經面臨日本311海嘯威脅的日本東京電力公司(簡稱東電)的資安管理人員也到現場分享,當時面對天災造成關鍵基礎設施工控系統當機風險的第一手經驗;最後,新加坡CI資安業者則會分享關鍵基礎設施防護的另一個角度。