公益團體的資安策略指南(三):做好這些步驟,成為沉穩的資安指揮官!
整理/趙家薇
編按:《網路星期二》於9月28日舉辦講座──給非營利組織的資安自保手冊,邀請戴夫寇爾 (DEVCORE) 執行長翁浩正分享NPO可以如何應對資安議題。NPOst整理該場講座內容,彙整成《公益團體的資安策略指南》系列報導,讓公益團體有更多知識與工具,預防資安破口!
資安事件層出不窮,組織該如何妥善應對是一大課題,翁浩正建議非營利組織可參考 Crest(Cyber Security Incident Response Guide,網路安全事件回應指南),從Prepare:做好資產盤點與分析威脅及風險後,選取合適的控制框架與措施;第二步是Response:識別事件、定義處境與目標後,採取合適行動,復原系統、資料及連線能力;最後則是Follow Up:深入調查事件並對內外部利害關係人報告、事後回顧及做好內部經驗傳承,進行後續應變方法更新以及評估未來事件的趨勢。
遇駭了怎麼辦?身為被駭者的必知三步驟
Step 1:保護組織營運
若非營利組織遇駭,資料不幸外洩,可參考美國聯邦貿易委員會的指引。首先,須保護組織營運,召集專家組成團隊,成員可遍及各領域,包含鑑識、資安、法務、人資、公關等,納入內外部廠商相互配合,各司其職;也需確保實體區域安全,包括門禁系統、保全等,定時更新系統與卡片密碼;為免更多資料外洩,建議下線受影響的主機,立即更換密碼與憑證,等待鑑識團隊處理;也需移除被公告於網路的個人資料以及搜尋引擎快取,通知外部網路站方或向Google請求移除;最後,與發現資訊外洩的人員進行面談,避免影響或摧毀證據,影響後續調查。
Step 2:修復資安漏洞
確保營運無虞後,當務之急便是修復資安漏洞,需確認外部服務廠商或供應鏈存取個資的多寡,立即更換存取權限止血,若與內網有關,須隔離受影響的主機網路,以防駭客擴張攻擊範圍;接著,與數位鑑識專家合作,確認資訊的受害範圍,還原備份與啟動調查,最重要的是,對員工、客戶、投資人、合作夥伴須制定溝通計畫,避免資訊落差或公開資料,妥善處理公關危機。
Step 3:通知相關單位及個人
遇駭後有些組織會因害怕媒體輿論壓力而不敢公開,但若想將攻擊方繩之以法,翁浩正建議可將事件提報給執法機關,尋求刑事警察局或調查局或165詐騙專線的協助,確認國家法律及規範需求。若組織與企業或個人有合作,負有通知義務,須讓使用者得知資料損失與發生的時點,並清楚描述資安事件現況,包括起因、外洩內容、如何被攻擊者使用、組織已採行的處理措施及額外防禦措施,並告知可聯絡窗口,若合作單位較為敏感(如政府),情節嚴重者亦須通知主管機關。
勒索病毒威力強,做好防範增強組織體質!
掌握遇駭處理的三步驟,便可較從容的應對資安問題。但科技日新月異,資安攻擊趨勢也愈加百變,其中非營利組織最常遭遇的勒索軟體問題,則可參考美國白宮的勒索軟體企業防範指引,建議組織應與隸屬最高層的資安團隊合作,較方便取得充分授權,調度所需資料;在備份資料時,必須測試有效度及還原演練,並做好離線保存與定期測試;此外,應測試事件應變方案的可用性,讓組織內部成員知曉權責分屬,區隔公司內網,釐清組織成員的權限與連線方式,以防交互感染;最後則需要確認資安團隊的運作是正常且有效的,如企業進行的紅隊演練與檢測,確保每個防禦措施、機制人員、委外廠商都能發揮功能,並依此產出監控報表供組織強化防禦架構參考。
別輕忽!密碼安全成關鍵
組織運用資訊要通過的第一道安全關卡就是密碼。然而,一旦沒有正確維護、管理密碼,密碼被盜用也是資料外洩的主因,所以應避免重複使用密碼,而密碼管理的最高指導原則是每個網站必須使用不同密碼,或應將資料依敏感等級進行分群,獨立使用,收斂受害範圍;而密碼組成不可為可視規律,如:生日、1234等,翁浩正強調,密碼的長度比複雜度來得重要,長度是影響密碼強度的最大主因,至少十五字元以上,他也建議組織可使用密碼記憶工具進行密碼管理(如:Lastpass, 1password等),但管理者之密碼必須是強密碼,若想增強防護則可採取多因子的二階段驗證。
當資安事件發生時,組織可依據CREST方案(Prepare、Respond、Follow up)應對,並按照遇駭三步驟進行組織營運保護,修補資安漏洞。至於非營利組織的資安策略,翁浩正表示,NPO可先訂定策略藍圖,應用前篇提到的CDM矩陣,將資安方案、硬體流程等進行全面盤點,按部就班補強缺口,讓非營利組織的資安等級能在三年內到達中小企業水準,強化組織體質後,NPO亦將更能妥善應對未來資安事件的發生。
延伸閱讀: