每年10月左右,歐美或其他國家主管機關都會辦理網路安全月(可能稱為Cybersecurity Month或Cybersecurity Awareness Month)。此一活動目的是提升民眾認知,以防範日益增加的網路攻擊或威脅。以2023年為例,除了較為人所知的美國CISA之外,還有加拿大、澳洲、歐盟及新加坡等國皆有辦理類似活動。
每年10月左右,歐美或其他國家主管機關都會辦理網路安全月(可能稱為Cybersecurity Month或Cybersecurity Awareness Month)。此一活動目的是提升民眾認知,以防範日益增加的網路攻擊或威脅。以2023年為例,除了較為人所知的美國CISA,今年網路安全月主題是「保護我們的世界(Secure Our World)」之外,還有加拿大、澳洲、歐盟及新加坡等國皆有辦理類似活動。
網路安全之重要性,在數位經濟時代內,已受到政府、企業及民眾之高度重視。其重要性在於以企業或組織的獲利為例,在此一時代內,獲利來源已非單獨源於昔日生產要素(如土地或機器設備)之產出,而是有更多來自於創新之貢獻,就是大家常聽聞的創造附加價值。國家或企業競爭力亦是如此,也無怪乎各國及其企業、組織期待透過創新以促進經濟發展或提升競爭能力。
然如同經濟學家熊彼得所提,創新或創造附加價值在現代經濟內要能發展的關鍵,多與科技(或稱技術)相關。爰涉及技術創新之人、事、物,都是公、私部門管理的重點。遑論,現代之科技應用免不了與網路有關,其安全性也因此成為管理項目重中之重,更可由此窺知,各國政府或主管機關辦理網路安全相關活動之初衷。
本年重要國家網路安全月辦理情形
理解科技應用、創新與網路安全之關聯後,以下陸續簡介歐盟、澳洲及新加坡等國,於本年辦理網路安全月或類似活動之情形。首先,歐盟ENISA在10月之網路安全月(ECSM)內,將協調各會員國辦理ECSM相關活動,如辦理實體、線上會議、研討會、培訓、演練或線上測驗。本年重點將以社交工程及其威脅為主,如提醒網路釣魚等攻擊行為,並將協助識別與分析相關惡意活動。
而澳洲本年網路安全月之主題為聰明使用網路,不要妥協(Be cyber wise - don't compromise),將提供網路影片、指引等供民眾參考。且依據其主管機關最新年度威脅報告顯示,本年平均每7分鐘就有一次網路犯罪報告,較前一年度增加13%,爰鼓勵澳洲民眾採取4個步驟,包含:定期更新設備、開啟多因子身分認證(MFA)、備份重要文件,以及使用密碼短語與密碼管理員等,以利民眾更聰明使用網路。
至於新加坡是以國家網路安全活動為名義,今年主題是「看不見的敵人(The Unseen Enemy)」。透過本年主題,希望提醒新加坡民眾,在日常生活中充滿諸多網路威脅,因此無論在家中、辦公室或其他場合,都應該提高警覺。其主管機關並提供4項建議,包含:啟用雙因子認證(2FA)並使用強密碼、小心網路釣魚詐騙、及時更新軟體,以及安裝防毒程式,以保護自己免受網路威脅或詐騙。
每年10月左右,歐美或其他國家主管機關都會辦理網路安全月,今年美國CISA網路安全月主題是保護我們的世界(Secure Our World)。 (圖片引用自https://www.cisa.gov/secure-our-world)
看完之後,各國網路安全月到底要做甚麼?
由前述歐盟、澳洲及新加坡等國之辦理情形,或可初步看出,各國主管機關規劃相關活動之的重點,除考量須結合一般民眾之生活外,為防範日益增加的網路攻擊或威脅,其挑選之主題更應與個人使用行為息息相關,如社交工程、網路釣魚等。
以提醒網路釣魚為例,加拿大在2022年之網路安全月重點就是網路釣魚。當時除了主題是網路釣魚(Fight phishing: Ruin a cyber criminal's day!)外,在整個10月,其主管機關將分別安排4週不同內容,循序漸進讓加拿大社會各界認識網路釣魚之因應與預防。
茲分別摘要當時各週規劃重點如下,讓大家可以了解相關活動之具體辦理方式:
‧第1週先介紹如何判斷是否遭駭客入侵或網路釣魚,以及如何從被入侵內復原、進行事件通報等。
‧第2週了解網路釣魚發生之地點、原因及方式,並探討不同類型之網路釣魚,與不法分子為何透過此一方式進行詐騙;同時也協助掌握網路釣魚、社交工程、惡意軟體及勒索軟體之異同。
‧第3週著重於預防,教導民眾使用強密碼與密碼提示、啟用多因子身分認證,並定期備份個人重要資料,以防止不法份子之破壞。
‧第4週整合前三週所學習內容,以具備檢測網路釣魚活動跡象、與如何防範網路釣魚攻擊之能力。相關知識或技巧除了幫助自己外,也可以幫助家人與朋友。
結論與建議
如前所論,在數位經濟時代內,技術創新與網路安全不可偏廢。且在此一時代下,各方還強調資料為王,並予以重視,甚至利用資料規劃數位轉型或其他服務,其中關鍵在於能否妥適運用組織所擁有的資料,以創造附加價值。故除了資料運用可能涉及隱私保護或其他法遵事項外,此一創新與應用的基礎,在於落實網路安全。
按網路安全月或相關活動的重點即在於提升認知,以協助落實網路安全。然科技應用與組織管理如何衡平?建議可先思考,就像很多科幻電影或小說內出現的情節,你以為你在利用工具,其實是工具知道你會利用它,故設計讓你可以方便利用。基此,極端地仰賴工具致玩物喪志,或堅決抵制導入新興科技,相信都不是吾人所樂見。
回歸「科技始終來自於人性」之經典名言,省思科技應用、創新與網路安全之關聯後,未來無論是政府、企業及民眾在使用網路上,更應重視其安全性,以降低被攻擊風險,此也才能呼應主管機關辦理相關活動之初衷。
<本文作者:陳宏志近年來專注在資料治理議題,如資安、個資政策或法令及管理實務,並協助零售、物流、智慧財產權領域,規劃區塊鏈或相關應用。>