遵守「最小特權原則」 精進資安風險管理
數位發展部長唐鳳在2022臺灣資安大會,進行專題演講,並以親身經歷,解釋資安觀念中的「最小特權原則」(Least Privilege),也就是給予用戶執行工作職能,所需之最低存取權限,降低因網路部件的篡改、事故、錯誤等原因造成損失,「資安是持續精進的風險管理,需要大家一起投入,才能完善防護網。」
根據世界經濟論壇(World Economic Forum, WEF)「111年全球風險報告」統計,因COVID-19 疫情對全球所造成的影響中,科技類型風險以「網路安全失效」(Failure of Cybersecurity Measures)最高,包含惡意技術利用、技術治理失靈、數位權力集中及IT基礎架構失效等。
針對數位權力,唐鳳表示,自己於數位部揭牌不久後確診,居家隔離期間也沒有請假,照常辦公,可是當隔離期滿,回辦公室時,觀察數位部同仁,測試門禁系統自動連接打卡系統的串接,卻發現自己登入門禁系統後,竟擁有管理員權限,「我可以維護你的資料,這好像有點怪怪的。」
唐鳳認為,疫情是建立零信任架構(Zero Trust)的最好道路,但在零信任登入系統中,自己沒有這類特權,才是最標準作法,「這其實是個有趣場景,有時可能因為我是部長,就設定給我某些特權,不過我不是資訊處或維護系統人員,給予我特殊權限並不合理。」也請同仁隨即修正門禁系統,拿掉部長的管理員權限,以遵守「最小特權原則」。
唐鳳強調,資安必須隨時落實在每個人身上,就好比戴口罩與勤洗手一樣,「民眾在疫情期間都會戴好口罩,意識及避免防疫破口,資安也需有良好風險管理。」才能實踐數位部提倡全民數位韌性的「全民」意涵。
瀏覽 777 次