資安分級雖可提高網路衛生標準,但無法阻止下一個SolarWinds

美國拜登政府正計畫發布產品資安分級系統,專家認為,該系統可提高整體資安門檻,但無法防止大型駭侵事件。在今(2021)年3月12日的白宮簡報中,美國高階官員以餐廳衛生與安全標章的概念類比,說明即將推出的資安分級系統:產品上的標章會顯示產品是否安全,並期許消費者選擇創造出以安全為優先的市場。

近年來,包括歐盟等不少國家都開始推動安全標準,尤其集中於物聯網裝置領域。白宮簡報中,政府就有特別提及新加坡的安全標章法案。有了安全標章,政府毋須針對安全標準細節立法,業者自會為了獲得優良標章而提高網路安全標準。

然而,安全標章淺顯易懂的特性是長處,也是缺點。易懂的標準可能利於推動業界遵守,但這不僅無法阻擋更複雜的網路攻擊,也容易促成「符合標準就夠安全」的假象。

物聯網安全全球標準聯盟( ioXt Alliance技術長Brad Ree表示,標章之目的是針對基礎安全議題,而非阻止高階駭客。包括SolarWinds事件微軟Exchange伺服器駭侵案及複雜的供應鏈攻擊都不是安全標章能處理的範疇。

美國智庫大西洋理事會(The Atlantic Council的網路安全創新成員Beau Woods表示,再好的標章也無法解決國家級網路攻擊的問題,但標章制度若能成功,將迫使高階駭客運用更高級的駭侵技術,並因此更容易追蹤及找到駭客來源。

Ree和Woods都同意,安全標章有很多好處,但唯有正確實施才能帶來最大功效。Woods以新加坡為例,該國的安全標章系統只提供個位數的安全分級,也沒有說明如何評分,太多不清楚的地方導致業者無所適從。

ioXt Alliance的做法相較之下簡單許多:通過基本安全標準的產品,就能取得標章。對一般消費者而言,一翻兩瞪眼的「安全」或「不安全」就充分足夠。但Ree也強調,在基本標準之上,應有增設更詳細安全分級的空間。Woods則認為,安全標章制度應以強制有力的安全標準為基礎,如此一來,討論在此標準之上可以如何進階才有意義。 

相關連結:

https://www.scmagazine.com/home/government/security-labeling-could-raise-the-bar-on-cyber-hygiene-but-wont-stop-the-next-solarwinds/

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

Scroll to Top