建構全民數位韌性,唐鳳:每人都能發現資安破口

作者 | 發布日期 2022 年 09 月 21 日 16:45 | 分類 科技生活 , 資訊安全 Telegram share ! follow us in feedly


數位部長唐鳳今天以自身案例解釋資安領域最低權限原則,像是部長不應有打卡系統管理權限,內部也要修正,她強調,每個人都具備風險管理意識時,資安精神才能像勤洗手、戴口罩落實,這就是全民數位韌性「全民」之意。

副總統賴清德今天上午參與台灣資安大會,親自走訪各攤位了解各項新興技術應用。唐鳳今天也出席「CYBERSEC 2022台灣資安大會」,以「建立全民數位韌性」為題大會主題演講。

唐鳳透過最近小故事說明全民數位韌性的關鍵,也解釋資安領域最小特權或最低權限的概念。

唐鳳指出,自己先前確診隔離結束後回到辦公室,得知數位部人員在測試門禁與打卡系統串接,自己當時也順利登入系統,不過登入後發現竟然有管理員權限,當時就跟專案規劃師反應,「我可以維護你的資料,這好像哪裡怪怪的?」

唐鳳指出,這是很有趣的案例,因為在零信任登入系統,自己都沒有這類特權是最標準的做法,但到實體情境時,有時候廠商考慮已進入內網,加上自己又是部長,相關人員可能覺得給予特權也很合理。

不過唐鳳認為不合理,因不是資訊處,也沒有當維護人員的必要性,反映後系統調整,她就沒有管理員權限了。

唐鳳表示,資安要落實每人生活,就像戴口罩、勤洗手等習慣,每個人都必須有良好風險管理意識。如發現系統有這管理選單時,能意識到這可能是破口或風險,就是全民數位韌性「全民」之意。

唐鳳也說,確診在家隔離期間都在家簽公文,當時資訊處就把零信任做法準備好,她也準備好行動自然人憑證,不過20日逛攤位發現有廠商電子簽章簽得更快,回去也有調整部內系統,現在半秒能簽出來,「有競爭有進步」。

唐鳳表示,數位部任務目標是建立全民數位韌性,她也現場說明國家資通安全發展方案的為期三年計畫,願景是打造堅韌安全的智慧國家。

三大目標為成為亞太資安研訓樞紐、建構主動防禦基礎網路、公私協力共創網安環境。唐鳳也提到四大策略,包括吸納全球高階人才、推動公私協同治理以提升關鍵設施韌性、善用科技主動抵禦潛在威脅,以及健全智慧國家資安提升民間防護能量。

(作者:蘇思云;首圖來源:Pixabay