保護關鍵基礎架構

背景

business-discussions-2males-laptop-2

關鍵基礎架構防護 (CIP) 是由多項措施組成,可以保護獨立系統、網路和資產的安全,這些基礎架構形成了社會中重要服務的骨幹。 重要實體基礎設施的例子包括道路、橋梁、機場、通訊設施和電廠。 資訊型基礎架構則讓所有其他基礎設施得以運作,並以運用電腦和網路為其特色,特別是監管控制及資料取得系統 (SCADA),其運作方式有賴相互連線性,才能在關鍵功能間啟用資訊交換與分析。 這些系統包括金融、發電與配電、醫療服務、政府緊急服務,以及海陸空運輸。

由於大多數國家的關鍵基礎架構絕大部分為私有與私營,因此需要一套靈活的解決方案,這樣的訴求反映出現今新興威脅的態勢,而且阻卻這些威脅的必要技術通常能快速因應,這是政府監管流程難以望其項背之處。 網際網路本身即具有快速與持續調整的特質,加上充分覆蓋全球的廣泛性,即可要求彈性的解決方案,以利快速適應日新月異的全新環境。

對 McAfee 的重要性

實體和/或資訊型基礎架構遭受天然災害、網路攻擊或其他因素所造成的毀損或破壞,可能會對公民、公司和政府造成嚴重損害。 保護重大資訊系統和網路是全球各國責無旁貸的一大挑戰。 今日的資訊基礎架構根本上有賴全球連線性與互通性。 因此,我們有必要採取有效的國際策略和解決方案,這對因應保護全球資訊關鍵基礎架構所面臨的挑戰而言至關重要。

McAfee 的使命便是致力於讓連網世界更加安全。 我們深信沒有單一的個人、產品或組織能夠獨自對抗網路惡勢力,尤其是運作關鍵基礎設施的組織每天都會受到來自國家層級或全球犯罪組織的攻擊。 至今,McAfee 已在重要的關鍵基礎設施部門建立深厚的業務,包括醫療、政府與金融領域。 我們也在像是通訊和能源等其他關鍵部門,有了長足的進步。 我們積極關注並力圖影響公共政策環境,讓現有與潛在客戶皆能在一個更為宏觀且雙贏的架構下順利運作,藉此達成我們滿足客戶福祉的目標。

原則建議

保持積極態度

政府有正當理由保護關鍵基礎架構的安全,但這些基礎架構絕大部分卻是私有型態。 有鑑於此,McAfee 相信私部門應領頭擔任保護者的角色。 政府應開放產業在關鍵基礎架構防護 (CIP) 工作上,持續自行創新。 對於確保關鍵基礎架構的安全防護目的而言,各種規範與要求可能適得其反。

  • 若規範意在強制製造商防範現有威脅,則很有可能因此忽略潛在威脅。
  • 若政府強加技術要求,很有可能流於形式上的法規遵循,而無助於達到真正的安全。 網路安全領域的監管有其棘手之處,無意促成的後果都可能消弭監管所帶來的任何益處。

採取主動的公、私部門合作方式,如依此概念形成的國家標準暨技術研究所 (NIST) 架構,遠較硬性規定有更多助益。 NIST 取向之所有成功,是因為政策制定者與私部門共同確定真正的需求:提升關鍵基礎架構的安全性。 隨著流程變得開放,NIST 傾聽私部門的意見,並與重要利害關係人建立互信,而得以催生出一套具有彈性的架構,全有賴主動合作,而非硬性規定。 合作可以帶來整合與經過驗證的產業流程解決方案,能更快速部署,且無須犧牲安全性或可靠性。 政策制定者應謹記 NIST 架構的成功不啻為一正向的方式,可以帶來預期的理想結果。

 

獎勵採用原生安全性系統

對於關鍵基礎架構 (CI) 架設,政策制定者應以獎勵方式,鼓勵其採用原生安全性系統。 在早期產品開發流程中即導入安全性,徹底將安全性內建於基礎架構中,便是一種更為主動的方式,遠較事後利用修補、更新及修改系統以提升安全性為佳。

  • 在已架設完成並運作的系統、網路或設備上新增 (「拴上」) 安全性功能,這樣一來會形成天生的弱點,且毫無效率,遑論還得讓系統離線才能更新,這對於能源網來說根本不切實際。
  • 若為可連網裝置,製造商應在設計階段早期便考慮安全性,並納入可在初次生產後,安全升級與修補產品的機制。

 

獎勵後續提升網路安全性能力的投資

McAfee 一直守在網路安全最前線,深知客戶要大舉投資好讓組織順利運作,需承受多少壓力。 通常,網路安全投資的順位排在新產品、銷售或行銷之後。 有鑑於政府防護私有與私營關鍵基礎架構系統的立場,政策制定者推行如下的額外誘因再合理不過,如此可以協助這些組織提升其網路安全性能力:

  • 稅務優惠:鼓勵企業投資網路防護的稅務優惠,包括一旦採用經實證的安全性技術,便給予加速折舊期程或賦稅減免。 
  • 保險改革:政府可提供停損方案,藉此強化保險市場。  為達目的,國會應考慮延伸 Terrorism Reinsurance Program Reauthorization Act (TRIPRA) 的涵蓋範圍,將網路攻擊納入其中。
  • 提供誘因,加快解決資訊共享的「搭便車」難題:我們必須正視威脅情報中的「搭便車」問題,這不僅影響了公私部門間的資訊共享,更已形成阻力。  威脅情報能讓每個組織從中受益,但主動提供情報卻無法獲得直接價值。要解決此搭便車的問題,必須搭配正確的編制結構與激勵措施並徹底落實,才能促進良性循環。
  • 解密更多威脅資料:對於與私部門共享的威脅情報,政府必須在質與量上均有所提升,以解決「搭便車」問題。 對此,政府應解密更大量威脅資料類別,並主動與私部門共享。 政府應核發更多安全許可,讓合格的公司代表可以存取最機密、但也可能是最有價值的威脅資料片段或類別。