資安事件所造成的影響往往遠超乎企業的想像,尤其當關鍵服務受到攻擊時,不僅是營收受損,更可能重創品牌信任。從醫療產業這次經驗中,企業不只是要懂得如何應對突發攻擊,更關鍵的是在平常時刻,就得建立全方位且可持續運作的資安防護體系,從根本上降低資安風險,確保營運不中斷。
今年初,台灣醫療體系接連遭受重大資安事件,不僅醫療服務受到嚴重影響,更讓患者資料暴露於風險中。衛福部更為此提出《醫院面對勒索軟體攻擊的應變指南》協助醫療機構建立系統化的處置流程。而不只是醫療院所,這份指南中提到三階段流程──「立即應對」、「遏制與診斷」、「恢復與重建」,對各行各業來說,都值得有所借鏡。
首先,事件發生初期必須迅速隔離受感染的設備,包含立即斷開設備的網路連結,避免病毒擴散。同時,指南特別提醒組織不該立即關閉設備,以免破壞可能留存的犯罪證據。接著進入遏制與診斷續階段,企業應快速識別攻擊類型與來源,才能精確制訂後續的防禦策略,包括尋找相應的解密工具及調整網路防護規則。最後走到恢復與重建階段,IT人員復原的優先順序,並確保使用乾淨排列系統復的備份副本,迅速重啟與關鍵營運或客戶相關的系統。這也進一步突顯備份管理策略的關鍵性。
對於尚未建立資安防護流程的企業來說,這份指南可以作為基礎,依照組織需求規劃為標準SOP;而已擁有完善對應流程的公司,Synology也從這份指南中歸納出兩大要點,供IT人員再次檢視自身的資安策略是否仍有疏漏。
首先,隨著資安威脅手法日新月異,建立完整的資安防護體系,絕不能僅依賴單一技術方案,指南中就提到多項必要措施,例如網路隔離、資料不可任意刪改與加密保存、即時偵測異常的行為分析、先進的防毒掃描機制,和有效作為最後一道防線的備份3-2-1-1策略。
值得留意的是,資安防護需講求分工合作,企業設計資安架構時,同樣應認知不同工具的專業分工。例如確保備份副本未受感染、乾淨可用的前提下,與其依賴備份方案兼附簡易的掃描功能,更應交由具備專業威脅偵測能力的防毒掃描系統,處理惡意程式的查核工作,讓備份系統專注於資料的高速保存與完整還原,達到更佳的整體防護效率。
另外,企業對資料保護架構,必須保持驗證與檢查的態度。許多企業誤以為只要有備份就萬無一失,卻忽略「備份可用性」的重要性。若未定期驗證備份資料的完整性與可用性,仍可能面臨「備而不能用」的窘境。因此,企業應將備份驗證、還原演練納入日常運行機制,才有辦法在事件發生時立即恢復營運。
<本文作者:李乾瑋現為Synology台灣事業處總經理>