数位发展部协同资安署、资安院共同号召民间企业成为TWCERT/CC免费的团体会员,可以第一时间接收资安情资、加速资安事件处理与降低资安风险。
数位发展部提供
在当前数位化浪潮席卷全球,网路攻击日益频繁的背景下,台湾作为全球关键供应链的核心,其资安防护韧性无疑成为国家安全与经济发展的重中之重。日前,数位发展部资通安全署与国家资通安全研究院(资安院)共同召开记者会,正式揭示台湾在资安领域的「公私联防策略」,就是希望透过政府、产业、学界与民间的紧密合作,共同应对日益复杂的网路威胁。
此次策略的核心在于,透过国家资通安全研究院接手维运的TWCERT/CC(台湾电脑网路危机处理暨协调中心)平台,强化情资共享、技术支援及人才培育,为台湾的数位环境构筑一道坚韧的防护网。
数位发展部次长林宜敬表示,资安攻防的本质就是「一个好人跟坏人之间不断的攻防。」他强调,在现代社会中,从手机、电脑到路由器、汽车,各种设备都充满了软体和潜在的漏洞。当骇客发现新漏洞时,恶意情资会迅速在暗黑网路传播,使得全世界的骇客都能利用这些漏洞对各公司发动攻击。
因此,他认为,作为「好人」的一方,必须迅速掌握情资、找到修补方法,并将这些资讯快速传递开来,这正是TWCERT/CC资安情资交换的关键作用。林宜敬也提到,TWCERT/CC提供的这项免费情资服务,其目标是让台湾产业界能在第一时间堵住资安漏洞,能让企业在骇客找上门前,抢先修补资安漏洞,呼吁全台企业尽快加入TWCERT/CC。
数位发展部资安署署长蔡福隆则补充,TWCERT/CC的服务不限于资安情资,还包括暗网监控通报、最新入侵威胁指标(IoC)、高风险或已被利用漏洞情资,以及资安电子报等多元服务。
蔡福隆强调,虽然目前《资安法》并未强制民间企业通报资安事件,但政府采取「鼓励」而非「处罚」的方式,希望逐步建立信任,鼓励企业主动通报。他认为,当企业与资安院、资安署接触并体验到其服务价值后,将逐渐愿意进行通报,尤其在涉及个人资料外泄的情况下,许多企业已主动向个资保护委员会及资安署通报。
蔡福隆也进一步说明,资安院自接手TWCERT/CC任务后,因资安院作为资安专属机构更适合承接此职能,而TWCERT/CC与全球CERT组织有密切合作,可共同应对跨国资安威胁。
关于TWCERT/CC在公私联防策略中的核心角色与多项强化作为,国家资通安全研究院副院长龚化中直接提出说明。他表示,过去在产业界时便对TWCERT/CC非常熟悉,认为这是「产业跟政府沟通的一个非常非常重要的桥梁」。
龚化中强调,TWCERT/CC作为我国与国际资安沟通的桥梁,目前已与全球110个CERT组织建立联系管道。这使得台湾能够接收来自全球的外部资安情资;同时,TWCERT/CC也作为国内N-ISAC的一员,接收国内各领域资安事件通报,协助民间企业加入资安联防行列。
龚化中指出,TWCERT/CC将锁定与本身设有资安委员会的公协会合作,积极推动中小企业加入团体会员,预计年底团体会员目标数,将从现有的2,000个增加为4,000个。
TWCERT/CC成为情资交流联防的核心枢纽
TWCERT/CC职能广泛,涵盖台湾民间企业所有电脑问题的处理,并作为国内外情资交流与协调的中心。资安院成立后也接手维运TWCERT/CC,不仅提升公务体系与民间企业情资的综效,更强调情资的「准确性与快速性」。
龚化中强调,当TWCERT/CC收到一家企业的资安情资时,除了通知并协助该企业外,也会通知产业相关的潜在受影响企业,协助他们提早预防,因为「骇客现在已经像无人机,一来都是一大票。」他说道。
他进一步解释,资安院在去年1月接手TWCERT/CC维运后,同时整合了社群与民间资源,大幅提升情资交流的广度与深度。龚化中指出,资安院不仅收集、转发情资,更拥有自己的研发团队,对情资进行精准分析与判读,包括企业攻击事件、高风险资安漏洞、潜在攻击活动等;而分析的结果会以攻击活动/漏洞预警的形式发布,协助企业提早防范因应。这些情资包含各种骇侵事件、入侵指标与预警,并提供可能受影响的厂商。
龚化中也特别提到TWCERT/CC情资互享实例的运作模式,当TWCERT/CC分析攻击活动并发布情资通报,企业会员接收之后会加强防范;反之,企业会员若主动提供威胁指标,TWCERT/CC也会在官网发布资安新闻,或主动通报相关企业会员。
他举例说明,当一家企业收到情资,TWCERT/CC不仅会通知并协助该企业处理,还会通知该产业相关、可能发生风险的其他企业,以协助他们提早预防。他强调,骇客攻击往往不是单独行动,而是大规模袭击,因此,掌握情资并尽快通知相关厂商,能有效帮助企业提早因应。
TWCERT/CC作为台湾与国际资安沟通的桥梁,目前已与全球110个CERT组织建立了联系管道,并定期参与各类国际资安组织,汇集国际与国内各领域资安事件情资。这种广泛的国际合作,使得台湾能够在最短时间内得知全球各地发现的新漏洞,并迅速将修补讯息分享给会员,以缩短骇客攻击的「时间差」。林宜敬补充说,由于台湾是世界上遭受网路攻击最严重的地方之一,因此能够分享的案例非常多,这是一种互惠的情资分享。
协助企业资安强化作为,从源头阻断威胁
龚化中指出,真正的资安防护必须从基本做起,也就是从「产品」做起。他强调,如果软硬体产品本身存在问题,有再多的资安防护,也难以稳固。台湾作为电子资讯产品制造大国,产品漏洞的解决至关重要,不仅对台湾有益,对全球各国政府也有帮助。
他警示,随著AI技术进步,漏洞被利用的时间越来越快,甚至在今年第一季,超过28%的重要漏洞,在24小时内就被骇客利用攻击。因此,尽管产品不可能没有漏洞,但即时修复漏洞可大幅降低风险。
为此,龚化中也分享TWCERT/CC所推动的多项策略。首先,加速产品漏洞通报机制(PSIRT)与产品资安应变机制。
他进一步解释,TWCERT/CC内部成立产品资安应变联络小组(PSIRT),就是一个确保资安研究员(白帽骇客)与企业之间的双向验证、安全沟通的通报程序。同时,TWCERT/CC也会辅导厂商在内部建立产品资安应变小组,并要求设立单一窗口、标准程序与及时回应机制,以确保漏洞能及时修复,保护企业商誉与客户。
其次,龚化中表示,TWCERT/CC则会积极推动团体会员机制,并强化情资交流分享,提高联防的广度与效率。
他坦言,尽管TWCERT/CC会员总数已达2千多个,但中小企业会员比例仍偏低,许多中小企业仍因「嫌麻烦」或「认为不会轮到自己」而未加入,这种心态会对整个国家的资安防护,带来很大的风险。
为扩大防护网,资安院在TWCERT/CC推动「团体会员」机制,主动与产业公协会合作,透过公协会将情资发布给会员(企业),并协助监督其资安风险。龚化中表示,今年预计先与两家本身设有「资安委员会」且会员基础广泛的公协会合作,并希望明年能持续推广到更多协会,最终目标是实现「普惠」的资安防护,预计年底时,团体会员可以达到4千个。
第三,要做到情资分享自动化以及加快情资传递效率,龚化中表示,TWCERT/CC计划今年导入STIX 2.1标准格式,并于2026年提供系统自动化情资交换功能,这将扮演关键角色。
他指出,未来,企业会员不仅能透过邮件接收情资,更能直接将情资导入其系统,以即时阻挡攻击。「这将使目前的邮件通知与未来的自动化情资交换双轨并行,大幅提升资安应变速度。」他说道。
第四,资安院携手大专院校师生,提供中小企业资安咨询服务。龚化中指出,资安院获得Google.org基金挹注,引进美国柏克莱加州大学「Cybersecurity Clinic」模式,于2024至2025年间,资安院公私协力携手至少8间大专院校、培育超过300名学生,为至少61家中小企业与非营利组织提供资安咨询服务。
他进一步解释,此举不仅让学生们在实习过程获得实务经验,也为企业提供宝贵的资安健诊服务,尤其对那些电脑系统较混乱的非营利组织帮助甚大。
第五,资安院产官学联手组成资安专家服务团,实地强化企业资安作为。他指出,
资安院2024年集结内外部资安专家组成服务团,以深度且敏捷的资安服务机制,服务11家中小微型企业与非营利组织,并计划于2025年持续前往全台20个组织进行实地辅导,协助其推动落实资安政策与措施。
最后,举办资安人才培训,厚植企业资安防护专业能力。他指出,资安院自2021年起,连续五年举办资安高阶技术人才培训课程,累计培训逾400人次。这些高阶资安人才遍布金融、软体、智慧制造、资安、医疗等产业,成为国家重要的资安储备力量,以强化我国资安防护韧性。
联防机制带来的企业实证效益
龚化中透过多个实际案例,说明公私联防机制的重要性与效益。首先是关于供应链资安威胁。他表示,TWCERT/CC去年在外部网路发现某供应商的重要程式外泄,资安院迅速通知该厂商及其客户,并巡查整个供应链,通知相关厂商共同处理,最终避免严重的资安破坏。这件事的发生,凸显骇客经常从供应链著手攻击,因此供应链联防至关重要。
其次,协助受骇企业,降低环控系统骇侵事件的后遗症。他指出,去年有四家制造业者的环控系统同时异常,导致停工;经TWCERT/CC协处后发现,俄罗斯骇客利用产品远端存取设定中的通用性风险,进而发动攻击。TWCERT/CC在查明原因后,立即通知代理商及其所有客户解决问题,有效避免更多工厂受害。
第三,降低社交工程攻击机率。龚化中表示,TWCERT/CC透过VirusTotal发现,有某企业会员的社交工程样本资讯外泄。经主动侦查后,通知该企业清查内部是否遭受钓鱼或被骇。经该企业回馈清查结果,并加强内部防护机制与员工资安意识,例如进行模拟钓鱼演练。
第四,提早揭露骇客攻击目标。龚化中指出,资安院透过恶意电邮陷阱机制(Mail Trap),诱捕骇客攻击电子邮件,发现多家民间企业成为骇客攻击目标。资安院透过会员情资管道,通知了46个受骇客攻击的目标会员,并提醒用户开启双因子验证、持续观察帐号使用情况、定期变更帐号密码,并注意钓鱼邮件,成功降低了社交工程所造成的风险。
龚化中总结指出,这些案例都印证了联防的重要性,以及公私合作是解决国家资讯危害的唯一途径。他强调,TWCERT/CC将以「准、早、快、广」四大原则,共筑资安坚韧防护网。
准(Accurate)意味著掌握第一手资安情资,确保通报准确有效;早(Early)则表示做好软硬体产品资安,提早预防骇客渗透;快(Fast)指的是自动化情资分享系统,可以更快速通知会员厂商;最后的广(Wide)则是透过团体会员机制,服务更多中小和微型企业。
龚化中也邀请更多企业加入TWCERT/CC联盟会员,他再次强调,这是完全免费的服务,同时提供暗网监控通报等高价值服务。他认为,资安是持续精进的风险管理,每一个组织的安全都关乎国家整体安全。
产业现身说法,印证公私协力带来的实质助益
两家与TWCERT/CC有长期合作经验的企业代表,也现身分享他们的实际案例与心得,证明公私联防策略的有效性。
葳桥资讯:提供及时通报与防护升级
葳桥资讯是有29年历史的纯软体开发商,该公司专案经理黄新连则分享去年(2024年)10月收到TWCERT/CC通报的经验。
他指出,去年10月葳桥收到TWCERT/CC的通报,内容是其开发已14年的系统存在弱点,此前客户机关已委托第三方进行渗透测试,并同步通报TWCERT/CC。TWCERT/CC主动与葳桥联系,双方讨论并快速修补了漏洞。
当TWCERT/CC在官网发布通报后,各机关内部纷纷转载,当晚及随后数日,导致葳桥连续三天接到大量询问电话,多家机关客户主动联系葳桥资讯询问相关风险,促使葳桥资讯迅速修补系统漏洞。黄新连说:「这显示各机关对资安风险意识的显著提升。」
他指出,葳桥资讯早在七、八年前,便将资安工作纳入公司流程,并且耗时四年,投入巨资,调整开发工具、方法、系统架构、程式码写法及套件,并由老板亲自担任资安负责人。
尽管取得了ISO 27001验证,但黄新连坦言「资源不足」,强调,骇客攻击手法不断进化,单靠公司自身技术不足以应对,因此非常需要TWCERT/CC这类资安联防机制,提供资源支持。
他认为,TWCERT/CC的预防作用非常显著,过去曾见过学校因骇客入侵而系统瘫痪、资料被删除的惨况,而近年政府在资安防护上的努力,确实阻止许多入侵事件的发生。他表示,这种联防机制让葳桥资讯能与客户机关共同努力,持续提升生产技术并提供更安全的产品。
网擎资讯:提供精准情资与更新动能
网擎资讯副总经理李孟秋也分享,TWCERT/CC如何大幅提升该公司的资安防护能力。
她表示,自加入TWCERT/CC以来,公司每日都会收到多封包含最新情资的邮件,内容非常实用,例如不安全的IP位址、网址、特征码,以及软体修补资讯。网擎资讯能够将这些情资整合到自身的云端服务和软体,协助客户即时更新,李孟秋认为,这些情资「非常珍贵且实际有用」。
TWCERT/CC在网擎资讯申请CVE(Common Vulnerabilities and Exposures)编号方面,也提供协助。李孟秋表示,CVE编号确保漏洞资讯的国际化与清晰化,而TWCERT/CC不仅协助该公司申请,还会帮忙通知各界。
此外,TWCERT/CC提供的「暗网监控」等情资来源,也主动通知网擎其客户可能遭受攻击或软体存在风险。
她指出,一旦发生漏洞,企业必须在极短时间内(甚至24小时内)找到问题并发布更新包,然而,客户却不一定会立即更新,此时TWCERT/CC的角色便显得尤其重要。
她表示,TWCERT/CC会通知公部门,使得公部门能同时收到网擎与TWCERT/CC的两份通知,「法律规定有义务要更新这件事情,这个动力会很强」她说道。此外,对于私部门会员,TWCERT/CC也会透过电子报发送更新通知,形成多管齐下的催促机制,进而大幅缩短客户更新的时间,最终降低了风险。
李孟秋也特别代表网擎资讯向资安院与国发会表示感谢,因为两个单位协助他们制作云端共契平台上的GCB(政府组态基准)实作简报指引,透过该份指引,详细说明机关如何安全配置系统,以及帐号必须双重验证、密码设定避免键盘横向组合等,对机关使用者和企业都提供巨大的帮助,共同提升资安防护水准。
年底目标,团体会员扩增到4千家
龚化中指出,目前TWCERT/CC会员中上市柜公司的占比高,资讯或科技产业的厂商相对较多,传统中小企业及非营利组织则较少,这正是TWCERT/CC会员参与未来极力推广的重点。
他表示,TWCERT/CC已锁定与两家本身设有资安委员会的公协会合作,这些协会通常具有专业资安团队,能协助会员处理资安事务,预计今年底会员总数能「加倍」成长,到今年底会员总数能从目前的两千多家倍增至四千家。
蔡福隆表示,第一阶段推动已从上市柜公司著手,未来也将增加供应链相关的中小企业,透过供应链来推动会员加入;至于预算方面,虽然随著会员增加而逐步增加TWCERT/CC在维运上的经费,但目前预算仍属足够。
林宜敬强调,加入TWCERT/CC只有好处没有坏处,且完全免费,能让企业在第一时间获得情资并修补漏洞,希望中小企业可以多参与这项「好服务」。
鼓励企业通报资安事件,建立信任关系
针对部分公司不愿通报资安事件的现象,蔡福隆坦承,在缺乏法律规定的情况下,企业确实呈现迟疑的态度。他解释,目前通报的管道,包括上市柜公司重讯发布相关资安讯息,民间企业则在个人资料外泄时,需通报个资委员会并同时知会资安署。
蔡福隆强调,这是个「渐进的过程」,政府初期采取「鼓励」而非「处罚」的方式,期盼逐步建立信任。他也提到,在资安法修法过程中,民间企业对「被纳管」仍有相当疑虑,因此政府选择先从上市柜公司及个资管道著手,逐步取得信任后再增加通报需求。
林宜敬则以「好人与坏人攻防」的比喻,进一步解释通报的重要性。他指出,当骇客发现新漏洞时,恶意情资会迅速传播,低阶骇客也会利用这些漏洞发动攻击。所以,作为好人的这一方必须尽快得知漏洞资讯与修补方法,他表示,TWCERT/CC的目标就是「缩短这个时间差」。
此外,透过国际合作,当友好的国家或机构得知新漏洞时,能以最短时间将讯息分享给台湾,让企业能在骇客攻击前尽快修补漏洞。林宜敬强调,台湾是世界上遭受网路攻击最严重的地区之一,因此,在情资分享方面具有极高的合作意愿。
各界也关注台湾半导体供应链的资安状况,龚化中指出,TWCERT/CC与半导体主要厂商及其协会保持密切联系与情资分享。虽然没有直接针对半导体「系统弱点」的案例,但他们观察到其「下游供应链公司」存在较多的资料外泄,或疑似客户资料在外流传的情况,因此,仍持续鼓励供应链成员积极加入TWCERT/CC联盟会员,共同提升防护。
龚化中也解释,TWCERT/CC自2024年1月由资安院接手后,是在TWCERT/CC原有的基础上,增加更多政府及国际情资,并提升研发能量,让情资更准确,会员数量在资安院接手后已成长了一倍,目标是再成长一倍,预计达到四千家。
他强调,资安院维运TWCERT/CC时,会与民间各种资安协会,如高科技资安联盟等有密切合作,尤其在产品资安方面,资安院已加入他们的产品资安小组,每月定期会议协助提升会员的产品资安流程与技术。
在会员产业类型方面,龚化中表示,目前的两千多个会员确实以上市柜公司为主,涵盖大部分产业类型,其中资讯或科技厂商占比较多,而传统中小企业和非营利组织相对较少,这正是未来极力推广的重点。
在国际交流方面,龚化中强调,TWCERT/CC作为全球110个CERT组织联盟的一员,遵循相同的SOP,时常进行情资交换。若在台湾发现国外产品漏洞,会透过CERT/CC与他国CERT合作处理。
资安院加入政府资安团队后,更能整合政府与友邦政府的资安情资,以及采购的商业情资,并针对特定会员及风险进行分享。龚化中形容TWCERT/CC是「非常非常专业、非常小众的媒体,而且非常有用」。
林宜敬进一步解释,全球多数类似的资安组织都是「非官方」或「半官方」性质,因为,在网际网路世界中,网民对政府监控存有疑虑,尤其欧美先进民主国家,政府也担心透过网路监控人民。
因此,资安防护工作通常由非官方或半官方组织执行,例如美国的US-CERT、日本的JPCERT/CC、韩国的KR-CERT等,以建立信任。林宜敬认为,这种国际联盟的重要性在于「缩短时间差」,让好人在骇客发动大规模攻击前,能尽快得知漏洞并进行修补。