建構全民數位韌性 唐鳳:每個人都能發現資安破口

分享到

(中央社記者蘇思云台北21日電)數位部長唐鳳今天以自身案例解釋資安領域最低權限原則,像是部長不應有打卡系統管理權限,內部也做修正,她強調,每個人都具備風險管理意識時,資安精神才能像勤洗手、戴口罩一樣落實,這就是全民數位韌性中「全民」的意思。

副總統賴清德今天上午參與台灣資安大會,親自走訪各攤位了解各項新興技術應用。唐鳳今天也出席「CYBERSEC 2022台灣資安大會」,以「建立全民數位韌性」為題進行大會主題演講。

唐鳳透過自己最近的小故事來說明全民數位韌性的關鍵,也解釋資安領域中最小特權或最低權限的概念。

唐鳳指出,自己先前確診隔離結束後回到辦公室,得知數位部人員在測試門禁與打卡系統串接,自己當時也順利登入系統,不過,登入後發現自己竟然有管理員權限,當時就跟部內專案規劃師反應,「我可以維護你的資料,這好像哪裡怪怪的?」

唐鳳指出,這是很有趣的案例,因為在零信任登入系統中,自己都沒有這類特權是最標準的作法,但是到實體情境時,有時候廠商考慮已經進入內網、加上自己又是部長,相關人員可能覺得給予特權也很合理。

不過,唐鳳認為並不合理,因為自己不是資訊處、也沒有作為維護人員的必要性,因此跟內部人員反映,後來系統調整,自己就沒有管理員權限了。

唐鳳表示,資安要落實在每個人生活中,就要像戴口罩、勤洗手等習慣一樣,每個人都必須要有良好的風險管理意識。例如,自己發現系統有這樣管理選單時,可以意識到這可能是一個破口或風險,這就是全民數位韌性中「全民」的意思。

唐鳳也說,自己確診在家隔離期間,都在家簽公文,當時資訊處就把零信任做法準備好,自身也準備好行動自然人憑證,不過昨天逛攤位發現有廠商電子簽章簽得更快,回去也有調整部內系統,現在半秒也可以簽出來,「有競爭有進步」。

唐鳳表示,數位部的任務目標是建立全民數位韌性,她也在現場說明國家資通安全發展方案的為期三年計畫,願景是打造堅韌安全的智慧國家。

三大目標為成為亞太資安研訓樞紐、建構主動防禦基礎網路、公私協力共創網安環境。此外,唐鳳也提到四大策略,包括吸納全球高階人才、推動公私協同治理以提升關鍵設施韌性、善用科技主動抵禦潛在威脅,以及健全智慧國家資安提升民間防護能量。(編輯:潘羿菁)1110921