謝君豪│英國標準協會台灣分公司營運長
每年,世界經濟論壇(World Economic Forum, WEF)都會發布《全球風險報告》,涵蓋五個主要領域,包括經濟、環境、社會、地緣政治以及科技,對相關的風險和威脅進行深入分析,有助身處快速變化環境中的我們,更好地理解全球最關注的風險趨勢。
其中,在科技領域方面,全球各國普遍最關注的風險就是關鍵基礎設施的網路攻擊(Cyberattacks on critical infrastructure)。台灣無論是上市櫃公司、政府機關,或與政府機關有業務往來的服務提供者等,都可以發現政府現在對相關的法規要求越來越嚴謹,特別是針對資安、個資以及營運持續等。
了解網路安全相關風險 確保做好充分的風險管理
當企業組織在考慮採用新興科技時,都必須深入了解網路安全的相關風險。透過WEF及其他研究報告分析,下列議題將為影響企業組織推動及強化網路資安(Cyber Security)的關鍵考量,包含:
- 全球地緣政治的不穩定性:以俄烏戰爭為例,俄羅斯一開始即針對烏克蘭的關鍵基礎設施發動攻擊。近期國內也發生民間企業及關鍵基礎設施,如便利商店和大眾運輸系統被攻擊。這些都顯示地緣政治的不穩定性,將是導致風險的主要因素之一。
- 新興科技的快速發展及運用:新興科技的應用,如最近崛起的ChatGPT、生成式人工智慧(AI)及雲端技術,雖然帶來了創新和便利,卻也為風險管理帶來巨大挑戰,不小心甚致可能會導致商業機密外洩,從而大幅增加資安風險。
- 法令法規的改變及違反的衝擊:遵守法令法規至關重要,特別是與資安、個資以及主管機關制定新規定相關的法規。必須符合法令法規要求,也將進一步為企業組織帶來一定程度的挑戰。
- 新興威脅及攻擊類型的快速增加:全球各國和大型企業都曾經歷過許多資安事件,其中絕大部份是在上雲後發生。在在顯示整個風險的變化挑戰非常大,對企業組織的控管是謂嚴峻挑戰。
然而,資安事件發生最困難的部分,往往是很難歸究問題來源是來自技術、管理、策略或其他因素導致。現今資安風險具有極大的多樣性,需要綜合考慮多方因素,才能確保充分的風險管理。
雲端服務將為風險管理帶來更複雜的挑戰
許多新創公司追求快速進入市場,大量依賴雲端服務,雖然能帶來許多優勢,如無需建機房或購置硬體設備、減少水、電和空調支出,同時還能節省管理人力等,卻也可能會因只配置少數人員負責整個雲端環境管理,或上雲後才發現管理模式與傳統方法大相逕庭。在人力或技術等不足下,為風險管理帶來更複雜的挑戰。
臺灣政府推動資安逾20年之久,擁有強大的生態體系,在近年資通安全管理法通過後,針對資通安全的要求及規範的完善度持續提升,產業主管機關的要求也隨著環境的變化持續精進。以金融和電信產業為例,由於屬於高度監管的產業,在新興科技及服務的運用上須進行完善的評估及管理,以因應相關的風險及對業務的衝擊。近幾年,在政府大力推動科技創新下,金融業主管機關包括銀行局、證券期貨局和保險局,都開始陸續開放讓業者可以較有彈性地將雲端服務運用在業務上,讓企業組織得以透過上雲實現業務不中斷運作,甚至擴展跨國性業務。
企業組織在決定是否上雲之前,建議可以透過以下三個問題來確認是否已經準備好:
-
企業組織打算採用哪種雲端服務模型?
雲端服務模型分為IaaS(基礎設施即服務)、PaaS(平台即服務)和SaaS(軟體即服務),無論採取哪種模型,都需要考量不同的風險並擁有足夠的能力來管理和應對。
-
現有地端的管理、風控及防禦縱深,能否套用到雲端服務的維運?
即使在地端有著嚴格的控管,上雲後的管制仍與地端管控有很大的不同。企業組織需考量是否擁有專業培訓的雲端人員,能有效管理不同的雲端環境。
-
現有資訊/資安人員的專業能力,能否因應相關的維運管理挑戰?
企業組織需確保同仁清楚雲端相關議題,並接受必要的專業培訓,以因應相關的維運管理挑戰。
當決定遷移到雲端時,也需仔細考慮會伴隨哪些潛在風險。根據雲端安全聯盟(Cloud Security Alliance, CSA)研究,列出了以下11個企業組織在考慮上雲時,應該特別關注的風險:
▲ 雲端安全聯盟 (Cloud Security Alliance, CSA) 於2022年發表了11項雲端服務面臨的威脅與挑戰
此外,國家資通安全研究院,也已針對政府機關使用雲服務訂定了 「政府機關雲端服務應用資安參考指引」,其中提供了政府機關可遵循的指引框架,包含雲端服務共通資安管理規劃、建置雲端服務專案流程,和雲端服務資安控制措施查檢表等。這些評估包括了解使用雲端服務的目的、用途、利害關係人、選項、監控方式,以及明確的建立流程和框架等。此外,還可使用檢查表來確保在雲端規劃、建置和部署過程中是否符合相關要求。透過這樣全面的規劃和評估過程有助於降低風險,確保雲端運用能夠成功並符合法規和相關安全標準。
參考國際標準結合業界最佳實務 持續提升在雲端使用及安全各面向之能量
政府在制定雲端相關規範時,也會參考國際標準的指引與精神。除了基本必須遵守的ISO/IEC 27001資訊安全管理國際標準外,國際間還有一些針對雲端管理和制度的指引標準可參考,主要分為以下三個方面:
- 運用面:即應用層面,如ISO/IEC 19086雲端服務水準協議框架,對於雲端服務的管理和運用提供了重要參考,政府在推動雲端時也常參考這項標準。
- 安全和隱私保護面:如ISO/IEC 27017雲端服務之資安控制措施、ISO/IEC 27018在公有雲上保護個人資料(PII)、以及ISO/IEC 27036 ICT產業風險管理。
- 雲端運算基礎:如ISO/IEC 22123系列。了解雲端架構的基本原理很重要,這涉及到對雲端環境的深入理解,以確保安全控制措施的有效實施。
▲ 國際間針對雲端管理和制度的指引標準,分為三個面向:運用面、安全及穩私保護面、雲端運算基礎。
這些標準之間都存在高度的關聯性。然而,無論哪種服務等級、服務水準或服務品質,都與資訊安全和隱私保護密切相關,這使得安全成為上雲時的首要考慮因素,通常又可分為以下層次來看:
第一層:遵循全球廣泛遵守基本的ISO/IEC 27000資安系列標準。
第二層:涉及雲端時,可參考ISO/IEC 27017和ISO/IEC 27018,並與業界最佳實務結合進行強化。
第三層:涉及隱私問題需要更深入的討論時,可參考ISO/IEC 29100隱私框架保護,此標準較偏重技術方面。此外,還須將當地的法令法規一併納入考量。
第四層:了解雲端架構的基本原理對於安全至關重要。
▲ 國際間針對雲端隱私保護與資訊安全四個層面的相關運用
此外,全球還有許多企業組織,包括雲端安全聯盟(CSA)、雲端控制矩陣(CCM)和網路安全中心(CIS)等,都有提供雲端安全的相關指引供參考。
▲ 雲端控制矩陣(CCM)提出的17個控制領域 (Source: CSA)
此外,還需要區分使用雲端服務的供應商(CSP)和客戶(CSC),這兩者在權責和義務方面存在差異。因此,建議企業組織首先遵循並導入ISO 27000系列標準的基本要求,然後根據實際需求進行進一步的增強,同時參考最佳實踐。最後,透過「成熟度」的概念,評估出需要強化的方面,並提供相應的資源支援。
▲ 企業組織可根據「成熟度」的概念,鑑別出哪些方面做得好或需要強化的地方,以提供相應的資源支援。
總結來說,沒有任何一個風險是可以僅靠控管單一面向,就能做到全面風險的管控。雲端安全是一個廣泛且複雜的領域,若想要成功實施就需要從策略、管理、技術和專業能力等多個面向一起納入考慮。此外,由於現階段各產業對資安人力的需求非常大,企業組織應持續培育專責的資安人才,以確保雲端服務的安全性並滿足相關法規和標準要求。
