资安院接手TWCERT/CC业务，民间企业资安事件通报从8×5改为24×7

国家资通安全研究院（简称资安院）于今年元旦，正式接手TWCERT/CC的业务，资安院副院长兼发言人吴启文表示，资安院原先已经承接原技服中心，针对《资安法》列管的政府机关和关键基础设施的资安通报，以及应变作业，自接手TWCERT/CC业务后，所有不是《资安法》纳管的非公务机关，都可以依循原有TWCERT/CC资安事件通报管道通报资安事件。

但通报的时间，吴启文说，从原本仅限上班时间才能通报的8×5，进一步提升，成为全天候都有人值班的24×7通报方式，因为资安院原先就有24小时值班的SOC（资安监控中心），可以同步接手TWCERT/CC民间企业下班时间后发生的资安事件通报作业。

吴启文指出，刚开始接手TWCERT/CC业务的最高原则，就是要做到「服务不中断、品质再提升」，除了要维持原有系统的稳定，也会盘点和观察如何进一步优化既有系统。

不过，他也坦言，因为非公务机关的资安事件通报没有法源依据，因此现阶段的资安事件通报并不具强制力，所以，即便不受《资安法》纳管的非公务机关（民间企业）可做到全天候都能通报资安事件，但要真正做到实质提升非公务机关协处资安事件能力，仍是未来要继续努力的目标。

TWCERT/CC关键在于协调，不妨碍依需求成立不同的CERT

TWCERT/CC全名是台湾电脑网路危机处理暨协调中心（Taiwan Computer Emergency Response Team / Coordination Center），最早于1998年9月在中山大学成立，2000年1月由台湾网路资讯中心（TWNIC）接手维运；国家中山科学研究院则在2014年8月承接TWCERT/CC相关业务；台湾网路资讯中心（TWNIC）于2019年1月二度接手相关的维运服务；资安院则在数位部希望能够统筹重要资安业务的指导下，2024年1月接手TWCERT/CC的营运业务。

TWCERT/CC服务范畴包括：情资交流、事件应变、国际合作和意识提升，关键字就是协调（Coordination），而CERT/CC是全球性的组织，每个国家都只会有一个协调中心（CERT/CC）的存在，负责和其他国际资安组织互动、协调与进行情资分享等业务，但各国仍会依据需求，设立其他不同性质的CERT。

举例而言，负责政府机关资安事件应变处理的TWNCERT（国家电脑事件处理中心）原先由技服中心承接，现在业务已经转移到资安院之后，则不具备协调中心的CC功能，但因为该单位主要负责政府和关键基础设施的资安事件紧急通报，以及应变处理，便成立TWNCERT处理相关事宜。

另外，国家通讯传播委员会（NCC）成立的NCC-CERT，负责强化通传事业办理资安事件通报应变的组织，现在正式名称为「国家通讯暨网际安全中心（National Communications and Cyber Security Center，NCCSC）」，也建置网路运作管理平台（C-NOC）、资安监控平台（C-SOC）、资安通报应变平台（C-CERT）及资讯分析与分享平台（C-ISAC），再以自动化衔接方式将该等平台纳入NCCSC，以整体掌握及处理通传事业设施障碍及资安事件。

民间企业通报资安事件，TWCERT/CC扮演第二线角色

资安院承接前技服中心处理公务机关的资安事件通报应变处理的业务，多年下来，已经累积相当丰富的经验，不管是从事前侦测、事中鉴识以及事后分析，都已经具备完整的技术量能。

吴启文表示，资安院新承接的TWCERT/CC业务，则是将既有的服务范围，从原本的公务机关与关键基础设施，进一步扩展到民间企业的资安事件通报，而对于TWCERT/CC而言，有些原本的业务将与资安院业务衔接，并视业务量能增聘人员，民间资安事件通报协处的部分，也会新增一个事件协调组负责。

此时，TWCERT/CC便可以扮演公务机关与民间企业的桥梁，从公务机关供应链攻击的资安事件过程中，主动掌握民间企业受骇的事证；相对地，也可以从协助民间企业进行资安事件应处和分析的过程中，将所掌握的资安情资，回馈到公务机关的资安平台上，作为资安事件的侦测和防护之用。他认为，透过这种公私协力的合作方式，也可以强化双边资安防护能力。

但吴启文强调，资安院是数位发展部所属的行政法人，所有的预算都来自政府，也承接政府的专案，为了避免与民争利，受骇企业除了向警调机关报案，也可以同时向TWCERT/CC通报资安事件，但过程中TWCERT/CC不会在第一线直接协助受骇企业，进行相关的资安鉴识或事件分析，这部分工作仍由一般民间资安公司协助处理。

以技术专业协助企业判别资安蟑螂

但他说，TWCERT/CC还是会以技术辅导的专业角度，扮演第二线支援的角色，协助受骇企业判断，确认与其合作的资安公司是否已找到被入侵的根因，另一方面，也可以协助受骇企业评估，了解资安公司建议的应变措施是否切实有效等等。

吴启文强调，许多企业发生资安事件时，除非原先就有配合的资安业者，不然，在面对、处理资安事件的当下，经常是心慌意乱、不知所措，这时候就可能会遇到许多「资安蟑螂」。

他表示，这些资安蟑螂可能是低价抢生意，却无法提供真正的资安鉴识与资安分析等服务；也可能价格看似合理，但提供的资安服务并不到位，并无法协助企业找出入侵的根因，甚至连建议的因应措施都流于片面，不适用该受骇企业。

因此，吴启文认为，此时TWCERT/CC扮演的第二线支援角色，就可以从技术专业的角度，协助受骇企业检视，了解资安厂商提供的资安鉴识报告内容是否完整，也可以帮忙评估，确认资安厂商建议的因应措施是否切实、可行等等。

在此同时，他说，TWCERT/CC会以综整分析的角度，掌握该起企业受骇资安事件的处理情形，并搜集相关的重要迹证，例如恶意程式样本或是IoC（Indicators of Compromise，入侵威胁指标）等，并能分析各个迹证之间的关联性，判断该起资安事件是否有针对特定对象或使用特定的攻击手法的趋势，若有，就可以将相关的分析结果进一步转换成资安情资，公告周知，甚至可以进一步提供该攻击手法的资安预警。

TWCERT/CC知名度不足是最大挑战

吴启文表示，接手TWCERT/CC时，已针对他们的网站、资安情资分享的TW-ISAC，以及提供恶意程式检测服务的Virus Check等三套对外提供服务的系统，完成内部检测、移交以及持续维运的动作；至于内部系统包括：电子报服务系统、情资分享平台的工单系统，和查询网域和IP的Whois查询平台，在完成移交后，也进行相关的检测与盘点。

他说，资安院检视TWCERT/CC内外部的系统，也已经规画TW-ISAC及Virus Check的升级改版进度，其中，针对恶意程式检测的Virus Check平台，由于自建沙箱检测机制，可借此掌握民间企业组织的受骇趋势。

资安院原本在协助政府和关键基础设施资安事件通报应处时，也难免遇到一些个资外泄的事件，当接手TWCERT/CC业务并将通报范畴扩及民间企业时，吴启文表示，TWCERT/CC虽然不提供第一线服务，但会依据国发会「防止非公务机关个资外泄精进措施」，订定非公务机关个资相关系统防护参考基准，作为针对个资外泄的强化技术面的检查参考依据。

由于CERT/CC是全球性的组织，所以，吴启文表示，TWCERT/CC的重要任务之一就是参与国际资安组织的活动，掌握全球资安最新发展趋势，维持并扩展资安情资的交流管道，接轨国际资安资讯共享与分析交流平台，加强国内资安事件通报应变作业。

例如，资安业界熟知的CVE漏洞编号，是由美国非营利组织MITRE负责维运，但这个漏洞编号除了MITRE可以制定，MITRE也授权一些国家级CERT或企业，可以指派相关的CVE漏洞编号，TWCERT/CC则是MITRE授权的CAN（CVE numbering authority）成员。

吴启文指出，持续针对台湾ICT产品的漏洞，提供可信赖的漏洞通报管道，并继续维持CVE漏洞发布品质为最高品质Provider等级，也是TWCERT/CC未来继续努力的目标。

然而，他也提到，目前TWCERT/CC最大的挑战在于知名度不足。无论资安事件通报应变协处或漏洞通报等等，对多数民间企业甚至一般民众而言，TWCERT/CC相对缺乏公信力，以及互信程度。

因此，他说，未来TWCERT/CC将善用资安院长期对公务机关的资安防护经验，协同金管会、证交所等单位扩大举办资安推广活动，也提供资安教育训练，提升企业联盟会员的资安防护意识，并且透过交流活动，吸引更多企业加入及合作。