記者王誌成/台北報導
一一四年度公務機關暨特定非公務機關資安事件原因統計近日公布,資安院指出,隨著資通環境日益多元與複雜,威脅樣態不斷演變,外部入侵、惡意程式投放到內部操作失誤,皆可能對系統運作與資料安全造成實質衝擊。今年截至十月底,兩類機關於資安事件型態呈現明顯差異,建議應透過弱點掃描強化管理。
在公務機關的資安事件肇因方面,資安院說明,常見風險主要聚焦於系統弱點、人員行為與委外維運等三大面向。其中,公務機關網站與應用系統多為對外服務入口,若開發流程未落實安全檢測或弱點修補,可能成為入侵跳板,建議推動安全開發流程制度化,並將弱點掃描、滲透測試與修補驗證納入常態作業,確保服務上線後持續具有防護力。
資安院指出,人員行為是防護鏈中最不可忽視的一環,如社交工程、弱密碼及下載來源不明套件等行為,顯示安全意識仍有待提升。資安院建議,公務機關應透過教育訓練、權限管理與操作稽核來降低人為誤用風險。此外,委外廠商的維運環境與管理流程也須納入防護範圍,契約中應明訂資安責任、稽核及通報要求,確保內外部作業符合防護標準。
至於特定非公務機關部分,資安院提到,資安事件肇因多以設備異常及環境因素為主,屬直接影響系統可用性的事件。值得注意的是,網站設計不當、設定錯誤及應用程式漏洞,以網路攻防演練發現為主,顯示系統與應用層的防護仍不可忽視,需透過持續弱點掃描與檢測,強化潛在弱點管理並降低風險。