去(2022)年底,澳洲陸續傳出關鍵基礎設施(CI)遭受駭客攻擊,引發各界關注,包含CI在內業者之資料治理也深受矚目。依國際資料管理協會(DAMA)之定義,資料治理係指在管理資訊資產的過程中,進行相關規劃與管控,如計畫、監控與施行。重視包含策略、制度、監督及合規等內容,以發揮資訊資產之價值。擁有大量資料的業者,更應重視政策、制度或法令遵循,而非個別事件之因應或處理。
去(2022)年底,澳洲陸續傳出關鍵基礎設施(CI)遭受駭客攻擊,如最大醫療保險公司Medibank、電信商Optus,造成近千萬筆個人資料外洩,甚至包含澳洲總理等名人之個資,引發各界關注。
在資料經濟時代下,包含CI在內業者之資料(或稱數據)治理深受矚目。因依國際資料管理協會(DAMA)之定義,資料治理係指在管理資訊資產的過程中,進行相關規劃與管控,如計畫、監控與施行。重視包含策略、制度、監督及合規等內容,以發揮資訊資產之價值。
由於無論是健康與醫療,或是通訊,都屬於澳洲關鍵基礎設施之領域。參照前述資料治理之定義,擁有大量資料的業者,更應重視政策、制度或法令遵循,而非個別事件之因應或處理。以下將以澳洲法規為例,先討論其CI規範與應有之防護,再討論因應勒索軟體攻擊之建議。
澳洲關鍵基礎設施法摘要
澳洲關鍵基礎設施涉及11類領域,包含:能源、通訊、資料存儲或處理、金融服務與市場、水與汙水、健康與醫療、高等教育與研究、食品與雜貨、運輸、太空科技,以及國防產業。
其法源依據為2018年關鍵基礎設施安全法(the SOCI Act),該法共7部分61條條文,以規範關鍵基礎設施服務提供者(CIP)責任為主,包含前言、對關鍵基礎設施(含CIP)相關要求,及附則等內容。主要目的係提供一個用於管理因關鍵基礎設施可能帶來國家安全風險之法律架構,包含:提高澳洲CIP經營與所有權狀況之透明度,並促進各級政府、關鍵基礎設施權責機關與CIP之間的協調合作,以識別與管理關鍵基礎設施可能之風險。
由於該法本於風險管理之精神,對關鍵基礎設施、或關鍵基礎設施服務提供者之具體要求亦多以此為優先。以該法第二部分關鍵基礎設施登記之相關要求為例,以透明度為主要規範,包含:CI登記、負責保管登記清冊主管機關之首長,必須保留該清冊,以利掌握資訊;其可以修正與加註資訊,且負有確保該資料不被公開之義務。而CIP則必須向各該領域主管機關之首長,提供CI經營資訊、利益持有人、資產控制者與控制狀況之資訊;並在資訊有變更時,持續提供相關資訊與通報資產異動資訊;以及規定豁免提供資訊等。
對於違反之關鍵基礎設施服務提供者,如提供不實資料、或不願提供相關資訊(該法第23條參照)將處50個單位的罰金;以2021至2022年之計算標準為例,最後金額等於每單位181.74之澳幣。
最近法規變動重點與法律責任
值得注意的是,2022年3月後,the SOCI Act除原有CI登記、資產盤點等事項外,尚對CIP增加新義務,如要求制訂風險管理計畫;且若被認定為國家層級之系統(SoNS),因屬重要CI資產,需要依更新後之網路安全法遵架構(Cyber Security Obligations Framework)予以強化,包含但不限於:制定網路安全事件應變計畫、進行演練及脆弱性評估。
此外,該法第四部分則是授權澳洲各該領域主管機關,得向關鍵基礎設施服務提供者取得關鍵基礎設施資訊或文件之權力,並可保留相關文件;且CIP不得以會違反自證己罪之原則,拒絕提供相關資料與文件。另外,CIP若要使用或揭露受保護之資訊時,須獲得主管機關之授權,或符合例外豁免授權情況,否則即屬犯罪行為,將處2年以下有期徒刑或120個單位之罰金。
而如勒索軟體等涉及刑事犯罪部分,主要之法律責任則依澳洲刑法典。包含常見之恐嚇(如刑法典第92條)、詐欺(如第133條)或偽造文書(如第143至145條),其構成要件皆有與妨害電腦使用相關,如未經授權侵入他人電腦。另外,針對關鍵基礎設施也重視其實體之防護,如禁止放置爆裂物(第72條),或進行破壞、干擾致影響CI對公眾提供之服務等(著眼於國家安全,第82條)。
結語
近年隨著勒索軟體攻擊案件之增加,如何因應與防制廣受各界關注。不僅澳洲,另以美國為例,曾於2020至2021年多次遭受相關攻擊,且受害對象包羅萬象,如資訊服務之SolarWinds、輸油管道、肉品等業者。美國白宮還特別於2021年6月初發表新聞,提供相關建議。
在該則新聞內,美國白宮提到除2021年5月輸油管道業者遭受攻擊外,同年6月又有肉品業者遭受攻擊,對企業營收或民眾生活都影響甚大,據此提醒私部門應予重視。且於該年5至6月間,已先以美國國家安全顧問Anne Neuberger名義對業者發出公開信,提醒企業或組織經營者、產業領袖應立即採取措施,以因應勒索軟體之威脅。
在防範勒索軟體的方法上,美國國家安全顧問Anne Neuberger提醒經營者或產業領袖之公開信內,包含5項具體建議,係白宮認為防制勒索軟體之最佳實踐(Best Practices),計有:1.備份相關資訊、2.即時更新與修補系統、3.測試事件應變計畫、4.檢查安全團隊之工作,以及5.落實網段管理。該公開信除有建議作法外,更不斷提醒經營者應隨時注意防制或因應勒索軟體。
除了前述法令遵循或定期備份等因應作為外,因關鍵基礎設施提供之服務不能中斷,CIP或其他對象也應落實復原點目標(RPO)與復原時間目標(RTO)之相關措施,以及執行事件演練、營運持續計畫,或如澳洲法規規範之制訂風險管理計畫,以降低遭受攻擊時之損失。
伴隨科技日新月異,甚至可以規劃應用區塊鏈技術,利用去中心化思維、於雲端或第三方進行備份、儲存關鍵資料等措施,發揮類似異地備援或提供支援之功能。或是提供可信資料還原事件原貌及軌跡,進一步釐清責任歸屬、搭配內部持續改善,以有效解決勒索軟體可能造成之威脅或影響。