遵守「最小特權原則」　精進資安風險管理

數位發展部長唐鳳在2022臺灣資安大會，進行專題演講，並以親身經歷，解釋資安觀念中的「最小特權原則」（Least Privilege），也就是給予用戶執行工作職能，所需之最低存取權限，降低因網路部件的篡改、事故、錯誤等原因造成損失，「資安是持續精進的風險管理，需要大家一起投入，才能完善防護網。」

根據世界經濟論壇（World Economic Forum, WEF）「111年全球風險報告」統計，因COVID-19 疫情對全球所造成的影響中，科技類型風險以「網路安全失效」（Failure of Cybersecurity Measures）最高，包含惡意技術利用、技術治理失靈、數位權力集中及IT基礎架構失效等。

針對數位權力，唐鳳表示，自己於數位部揭牌不久後確診，居家隔離期間也沒有請假，照常辦公，可是當隔離期滿，回辦公室時，觀察數位部同仁，測試門禁系統自動連接打卡系統的串接，卻發現自己登入門禁系統後，竟擁有管理員權限，「我可以維護你的資料，這好像有點怪怪的。」

唐鳳認為，疫情是建立零信任架構（Zero Trust）的最好道路，但在零信任登入系統中，自己沒有這類特權，才是最標準作法，「這其實是個有趣場景，有時可能因為我是部長，就設定給我某些特權，不過我不是資訊處或維護系統人員，給予我特殊權限並不合理。」也請同仁隨即修正門禁系統，拿掉部長的管理員權限，以遵守「最小特權原則」。

唐鳳強調，資安必須隨時落實在每個人身上，就好比戴口罩與勤洗手一樣，「民眾在疫情期間都會戴好口罩，意識及避免防疫破口，資安也需有良好風險管理。」才能實踐數位部提倡全民數位韌性的「全民」意涵。

瀏覽 655 次