行政院今(22)日下午召開資安會議,行政院副院長兼資安會報召集人張善政會後不諱言的表示,可以「合理懷疑」大部分駭客來自於對岸 (中國),因為「台灣與世為善,除了對岸外,大概沒有其他人對我們有什麼企圖」;而且,值得注意的是,有些來自中國的攻擊手法是世界首例,「中國把台灣當作網路資訊攻擊試驗場」,根本沒有破解資料可參考,所以台灣的資安防護必須自立自強,「自己的資安自己救」。
資安辦公室主任蕭秀琴也透露,台灣在國際交流受挫,但因為中國網路攻擊的關係,包括歐盟、美國都特別指定要跟台灣做資安交流。
張善政指出,資安事件從重至輕可以分為4級,如果是4級資安事件就足以「動搖國本」;蕭秀琴也表示,「資安和國安之間只有一線之隔」。而根據國內政府機關(構)近3年的資安事件通報資料可以發現,平均每年約300餘件,但大多數屬於1、2級較輕微的電腦中毒事件,但仍不可輕忽,其中有19件需要通報行政院長層級的3級資安事件,對此,張善政表示,對於資安事件不能只是「止血」而已,而是要從「根本」處理。
而根據2009年1月到2014年10月進階持續攻擊(APT)分析,包括提出ECFA、簽署ECFA,總統就職週年、中國10月的黃金週,去年3月服貿議題及去年10月的頂新事件、選舉時,配合節慶、政經事件,都吸引使用者開啟不明來源的偽電子郵件,其中,更以總統府、行政院、外交部、經濟部和國發會是被攻擊最多的單位。
蕭秀琴也說,為提升政府機關人員的資安意識和警覺性,面臨資安不對等的戰爭,已經實施網路攻防演練,去年更納入國安政經兵推,以關鍵基礎設施、電信系統遭受攻擊模擬,在1267個系統發現217項網站系統弱點,今年的攻防演練仍在規劃中,但確定會先辦技術研討會,讓各機關先了解可能的資安漏洞來源,以便於防禦。
為完善台灣的資安防護體系,行政院推動資安會報技術服務中心未來也將轉型為行政法人「國家資通安全科技中心」,朝資安會報、科技部、國家資通安全科技中心3級制發展,以強化國家整體資安防護體制。