駭客攻擊事件 + 0! 政府機關開始導入 EaaS 雲端服務
身為臺灣公部門,該如何面對「雲端服務」轉型議題
依據國發會報告指出,資訊系統雲端化近幾年一直是政府發展方向(註 1),鑒於政府部門對於雲端服務的部分資安疑慮,例:資料外洩、帳號被駭或人員問題(註 2)建議可以先從機密性較小的服務移轉至雲端,來加速公部門服務效率。並藉此熟悉雲端服務的設定環境與管理程序。經濟部工業局也早在 6 年前(即 104 年)起於共契採購平台持續提供公部門採購雲端服務的品項,其中即包含了雲端電子郵件(EaaS, Email-as-a-Service)等服務(註 3)。
公務機關即使目前仍保有「資料移上至雲端就是不安全」印象,建議仍可逐步研究如何讓移轉至雲端也可維持一樣的安全等級,及早了解以避免在某個時刻因政策要求上雲端之時的感到手足無措,相對有所準備(註 4)。因為這不只是台灣自身的資訊服務轉型趨勢,更其實是行之有年的國際風潮。Gartner 也指出,在多數政府機關越來越適應資訊系統雲端化之後,也將會有越來越多政府預算投入打造雲端平台(註 5)。
美國日本政府機關 逐年累積雲端資訊服務能量
根據 Gartner 指出,雲端服務架構逐漸被管理階層重視,並預測在 2023 年時,將有更多政府機關的科技方案會以萬物皆雲(anything-as-a-service, XaaS)的模式呈現(註 5)。疫情影響,讓各國政府機關了解,現行的資服機制對於突發狀況的反應速度可能有不足之處,也成為了確實優化必要之資訊服務的契機,達成持續維繫機關與民眾及機關與企業的溝通服務管道,以強化公部門組織韌性。2021 年將持續改善遠距政府服務的效能,提高雲端服務的採用順序(註 6)而早自 2010 年起,Google 及 Microsoft 就致力於向美國政府銷售雲端郵件服務(註 7),而在 2010 年 12 月,美國總務署也正式宣告開始採用雲端郵件服務(註 8),2016 年,三大知名國際廠商在取得美國高度機密資料安全認證後,更能讓公部門安心將有更高度機密的資料移上這些雲端服務,例如國民健康資料與政府財政資料等(註 9);日本政府也在 2020 年宣告將人力資源系統與文書管理平台移轉至雲端服務(註 10)。
內外威脅,讓雲端服務(SaaS)的安全等級更重要
建立資安防詐機制,是政府機關導入雲端服務的重要考量項目之一
目前已有為數不少的一級公務機關採用雲端服務,特別是在中央部會更為明顯。根據簡單的抽樣訪談,公部門採用雲端服務的原因大致包含:
1. 配合政府推動雲端運算計畫
除了委外管理人力配置更彈性之外、可更即時掌握駭客資安動態。如同國際資安考量(註 10),台灣公部門採用的雲端服務,一般也多會以機房設置在本土境內的雲端服務為主,以避免資料散落境外、資料外洩、或是必要時刻無法調閱重要資料的風險。
2. 杜絕詐騙與駭客攻擊風險
有鑒於駭客手法日新月異,例如 APT、BEC、SEP(如圖一說明),對於人力吃緊較無法配置資安專責研究團隊的使用單位來說,則會傾向交給專業的廠商代管。內部資料保存安全、外部攻擊防禦等雙面衡量下,必須上雲端的需求更讓雲端服務商的安全性備受重視,是否有 ISO 等級的國際品質保證或通過資安弱掃檢測,都成為重要的遴選指標。
台灣也有政府機關可信賴的雲端服務集中採購平台—共同供應契約-雲端服務
如前文提到的美國有機密資料安全認證,讓政府機關可以放心地採購合格的雲端服務,在台灣也有類似的機制,公務機關可以安心地、快速地採購共同供應契約平台上的各項雲端服務(以下簡稱雲端共契),例如雲端電子郵件(EaaS)(註 11)。上架至雲端共契平台的廠商,皆已通過層層評選,評選項目包含:雲端共通特性、資安弱點掃描、與功能適用檢測等。
在資料機密保護方面,機房服務要求於本地境內建置、並有異地備援架構、具備 ISO27001 認證與抗震合格等多項條件,更要求服務穩定度保障 SLA99.95%,明訂廠商未達標之罰則,讓廠商不敢輕忽怠慢。共契平台對於上架服務的嚴格要求與把關,種種機制讓政府機關採購更安心、更方便,也不須再另耗心力測試資安可靠度或是勞神費心地籌辦開標活動。此外,更可一貫式達成相關規範的推動,例如在配合推動開放文檔的政策下,各機關可以採用第五組:雲端 ODF 辦公整合系統,讓機關在對外溝通聯繫(Email 附檔下載、檔案分享、文件共編等)時,可以更快地以開放文檔格式達成資訊公告與資料交換。
採購費用也是政府機關重要的考量點,雲端服務的訂閱制,以帳號數(U數)計算,選定符合預算與規模的方案,驗收交付也更可精準。對於需要頻繁應對全球各國互動交流的單位來說,資服系統委外代管給雲端服務,維持系統穩定暢通,24 小時都有專人守護的特性,並落實資安緊急通報,更是讓資訊室同仁感到可靠安心。
雲端電子郵件(EaaS)能為政府部門提供的服務優勢
電子郵件是公部門溝通最基礎的設施,也是駭客最常狙擊的通道。因此配合政府資安規範,不可使用私人信箱作為公務用途在國內外公務機關皆可見(註 12、註 13)並依資安等級每年進行社交工程攻擊演練。鑒於郵件重要性及脆弱性,避免詐騙威脅趁人員繁忙而鑽入公務資訊系統,透過健全的專責機制降低「誤開郵件、誤點連結、誤載附檔」所造成的資安風險是重要的。
雲端電子郵件(EaaS)在雲端共契被列為「高」服務水準等級,有著相對嚴謹的架構要求。而關於電子郵件安全的佈署議題,國家資通安全會報技術服務中心也推出了電子郵件安全參考指引(註 14),而在行政院資通安全處的分析報告中也有明確點出(註 15),應持續強化相關資安意識,「減少誤開郵件及駭客入侵情事」,透過各項檢測主動發現弱點問題。而我們或許可以此推敲出,其他的公務溝通工具,例如:即時通訊或雲端硬碟,是否也將有類似的規範,存在著不可用私人帳號進行公務溝通的趨勢。如果這麼多溝通工具都要採行自建的話,資訊單位的工作負擔必然增加,也讓部分觀念較保守的公務機關也不得不開始接受建立一站式工作溝通雲端平台的需求可行性。
以一府五院等大部分的中央高層主管機關為首,目前有越來越多的政府機關早已陸續投入移轉上雲端的導入工作。對於已經接受雲端服務方案的機關,可以持續提供雲端共契平台、及雲端服務商更多的使用回饋,讓台灣雲端服務架構更周全完善,與國際安全規格接軌。而對於仍保持觀望態度的公部門來說,面對雲端服務的趨勢,也建議可以調整心態,絕對不是急著一口氣現在就將所有系統移上雲端,而是務必可以從現在就先做好當未來某一天必須要上雲端時,該如何及時找到最安心的雲端服務。
參考資料
註 1. 國家發展委員會報告,將啟動政府機房瘦身計畫,於109年達成機房減量逾7成之目標,https://www.ndc.gov.tw/nc_27_26283,2016/9/12
註 2. 從美國「聯邦風險與授權管理計畫」看我國促進政府部門導入雲端運算之策略與機制,科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=16&tp=3&i=79&d=6318,2013/07/03
註 3. 經濟部工業局契約條款-招標案號:1040202(雲端服務),https://www.spo.org.tw/office_new3/images/spo_files/project/1040202-5.pdf
註 4. 5 Ways for Government CIOs to Optimize Cloud Deployment,Gartner,https://www.gartner.com/smarterwithgartner/5-ways-for-government-cios-to-optimize-cloud-deployment/ ,2020/3/13
註 5. Gartner Predicts By 2023 Over Half of Government IT Workers Will Occupy Roles That Don’t Exist Today,Gartner,https://www.gartner.com/en/newsroom/press-releases/2019-03-06-gartner-predicts-by-2023-over-half-of-government-it-w ,2019/3/6
註 6. Gartner Forecasts Global Government IT Spending to Grow 5% in 2021,Gartner,https://www.gartner.com/en/newsroom/press-releases/2021-02-18-gartner-forecasts-global-government-it-spending-to-grow-5-percent-in-20210,2021/02/23
註 7. Microsoft, Google Vie to Sell U.S. Cloud Mail,The Wall Street Journal,https://www.wsj.com/articles/SB10001424052748704719104575388374158004334,2010/7/26
註 8. GSA Becomes First Federal Agency to Move Email to the Cloud Agencywide,https://www.gsa.gov/about-us/newsroom/news-releases/gsa-becomes-first-federal-agency-to-move-email-to-the-cloud-agencywide,2010/12/1
註 9. 美國政府機密資料也敢上雲端了,微軟、AWS取得FedRAMP高度機密資料安全認證,胡瑋佳,https://www.ithome.com.tw/news/106751,2016/06/28
註 10. Japan to hire Amazon to build government cloud,Nikkei Asia,https://asia.nikkei.com/Business/Technology/Japan-to-hire-Amazon-to-build-government-cloud,2020/2/12
註 11. 資訊服務採購網(EaaS),https://www.cloudmarketplace.org.tw/order/Match/Cloud/last/22
註 12. 教育體系電子郵件服務與安全管理指引,https://webmail.ntnu.edu.tw/v2/doc/eduEmailSecuGuide.pdf
註 13. 從希拉蕊「電郵門案」談公務電子郵件使用規範,https://www.tcw.moj.gov.tw/media/85088/7828104456464.pdf?mediaDL=true
註 14. 行政院國家資通安全會報技術服務中心-共通規範,https://www.nccst.nat.gov.tw/CommonSpecification?lang=zh
註 15. 行政院資通安全處-當前資安情勢分析,https://www.slideshare.net/releaseey/ss-81490543?next_slideshow=1,106/11/2 |
