晴時多雲

唐鳳親身故事點出資安精髓 部長也不能有特權

2022/09/21 12:37

數位發展部長唐鳳在台灣資安大會演講。(記者徐子苓攝)

〔記者徐子苓/台北報導〕數位發展部長唐鳳今天在台灣資安大會演講時,分享一個小故事:身為部長、並非系統維護人員的她,卻在登入部內系統時發現自己擁有管理員權限,這不符合資安界近年推廣的「零信任」原則,給予部長類似的特權是不合理的。她也從中點出資安防禦的精髓:當全民都能擁有風險管理意識,認知到某些行為可能造成破口,就能即時修補。

唐鳳在演講時表示,今天想談一個關於「最小特權(Least Privilege)」的真實小故事。事情發生在她確診隔離結束後回辦公室時,當時數位部同仁在測試門禁系統的串接,於是她順利登入系統。但是登入成功後,唐鳳發現自己竟然有管理員權限,於是就向部內的專案規劃師反應,「我可以維護你的資料,這好像哪裡怪怪的?」

唐鳳認為這是很有趣的案例,因為在大部分「零信任(Zero Trust)」的登入系統裡,她都沒有類似這樣的特權,但當場景轉換為實體,卻有不同的結果。例如她進辦公室連上內網,再加上身份又是部長,相關人員容易覺得給予特權是可以的。

不過她話鋒一轉,「這樣是不合理的」,因為即使是部長,她並非系統的維護人員;而同仁聽了之後也立刻處理,之後唐鳳就沒有管理員權限了。

唐鳳從這個小故事得出一個結論:資安要落實,每個人都必須有良好的風險管理意識,正如同戴口罩、勤洗手一樣自然的防疫舉動。她說,就像自己發現有管理員權限時,能意識到這可能是一種破口或風險,這就是數位發展部的政策目標「全民數位韌性」裡的全民之意;只要加強每個人的資安保護意識,就能在發現漏洞時,即時來修補。

唐鳳還說,她確診後完全沒有請假,因為部內在最短時間內部署零信任架構,讓她在家就能簽公文。昨天她逛台灣資安大會的廠商攤位時,發現有業者的公文系統簽得比數位部還快,因此回去調整,現在半秒鐘就能簽出來,讓唐鳳笑說,「有競爭就有進步」。

唐鳳也在演講中提及數位部的3大政策目標:打造台灣成為亞太資安培訓樞紐、建構主動防禦基礎網路、公私協力共創網安環境,以及4大策略:吸納全球高階人才,培植自主創研能量;推動公私協同治理,提升關鍵設施韌性;善用智慧前瞻科技,主動抵禦潛在威脅;健全智慧國家資安,提升民間防護能量。

一手掌握經濟脈動 點我訂閱自由財經Youtube頻道

不用抽 不用搶 現在用APP看新聞 保證天天中獎  點我下載APP  按我看活動辦法

已經加好友了,謝謝
歡迎加入【自由財經】
按個讚 心情好
已經按讚了,謝謝。

相關新聞

今日熱門新聞
看更多!請加入自由財經粉絲團
網友回應
載入中