• 發布單位:TWCERT/CC
• 更新日期:2022-08-31
• 點閱次數:282

活動時間：111.05.31(二) 14:00~16:30

活動議程：

首場由TWNIC、TWCERT/CC主辦的資安防護及案例分享研討會於5月31日假台中市中科管理局工商大樓702會議室舉辦，鑒於近年政府積極推動資安即國安，根據統計85%製造業曾遭受勒索病毒攻擊，資安事件多數源自人為疏失所造成，尤其於疫情期間，企業遠距辦公導致更多資安漏洞，因此特別舉辦資安防護及案例分享研討會，希望透過研討會提升員工基本資安意識，以減少人員疏失導致資安事件造成的企業損失，進而建立後疫情時代的企業資安新思維。

首先是由TWCERT/CC的曲承則工程師分享TWCERT/CC服務範疇及案例分享，曲工程師分享各類型資安威脅案例，其中釣魚網站威脅案例，因65%的駭客組織以網路釣魚為主要攻擊手段，像是模仿蝦皮購物網站、樂天市場網站、高雄市工業會網站、中華電信網站、台中銀行網站以及中國信託網站等與生活息息相關的網站而令人印象深刻，曲工程師更提出多種識別方式來提醒與會人員如何辨別釣魚模仿網站，防止誤入釣魚網站遭受資安攻擊。另提出殭屍網路運作方式與防護建議、近期重大更新提醒、勒索攻擊事件案例分享，曲工程師提出建議應使用防毒軟體並即時更新軟體與定期進行檔案備份、並遵守備份321原則來防護自身資訊安全。曲工程師更詳細說明TWCERT/CC服務範疇：資安事件通報規劃、網路釣魚通報、產品漏洞揭露通報、惡意程式資安檢測服務、勒索軟體防護專區、訂閱資安情資電子報以及鼓勵企業加入TWCERT/CC聯盟會員。

接著邀請財團法人資訊工業策進會黃小玲資深規劃師分享兩項與企業相關之主題：「資安管理法推動與修正重點」及「個人社交資安防護及案例分享」，特別說明資安管理法推動與修正重點目的是希望企業能更加了解現行資安法規，進而避免於企業營運時不小心觸法，黃資深規劃師講述資通安全管理法架構、立法目的及規範對象、資通安全責任等及分級辦法、資通安全事件通報應變辦法與子法施行細則等內容。

資安管理法推動與修正重點主題結束後，中場休息十分鐘，於休息時輪播TWCERT/CC兩部推廣影片「TWCERT/CC 三大資安通報流程」、「網路釣魚防詐資安宣導」，加深與會企業人士了解TWCERT/CC服務內容，並於實體研討會現場發放「台灣CERT/CSIRT聯盟」會員申請書，鼓勵企業加入台灣CERT/CSIRT聯盟。

接著黃資深規劃師後續主題為針對個人經常使用之社交網路說明新式社交工程攻擊及各項風險分享，先以有趣影片帶出傳統社交工程攻擊與新式社交工程攻擊的不同點，更提出許多身邊接觸社交工程的實例，因目前人手一機，手機接觸的時間長，因此黃規劃師針對手機經常遇到的風險進行討論，並提醒企業或個人之帳號密碼設定方法，提醒每位參與企業人士的個人與企業防護重點。

最後議程Q&A時段，線上參與企業人士提出詢問：目前資安管理法的適用範圍僅公務機關、特定機關或重大影響民生機關，未來是否可能有企業相關資安專法，或是適用於企業資安法規嗎？ 黃資深規劃師回應詢問：目前企業若是需要於公部門投標計畫或執行計畫等，會特別需要符合資安管理法相關法規，確實目前資安管理法尚未全面規範至企業，但非常建議企業可以依循資安管理法的相關辦理事項來制定企業資安防護的執行規範，建議企業制定至少符合資安分級中的C級規範，目前許多大企業正積極推動資安策略，多數已達到A級或B級之等級，因此初導入資安規範策略的企業，可以從C級規範開始做起，相對企業資安防護都是好的開始，更是基本資通安全責任等級。

本次資安防護及案例分享研討會台中場，實體與線上同步舉辦共83人與會，研討會藉由兩位專業講師精彩豐富的資安內容，讓與會企業人士皆受益良多，並讓與會企業人士對TWCERT/CC服務內容更加了解，根據問卷調查結果，與會者對於本場次研討會給予肯定回饋，並期望未來能多加舉辦相關資安研討會。