【無資安意識的政府 還需要駭客嗎】

➡️五倍券網路登記，民眾為搶限量優惠，
短時間內大量連線湧入網站，造成網站大當機，
其中更發生金融機構用來增加資安保護的認證一次性密碼(OTP)，
原應該透過簡訊或email傳送，竟然在網頁原始碼直接就可以看到。
OTP若可直接從瀏覽器取得，代表第二任證程序失效，有心人更有機會登入其他人的帳號，這次發生問題的是台灣Pay綁定郵局VISA金融卡，如果這樣的漏洞也存在郵局的其他系統恐造成嚴重的資安風險。

➡️另一個事件，教育部學習歷程檔案遺失事件，
108年新課綱，將學習歷程檔案將作為升學重要評分及錄取依據，
因此這些檔案對於學生來說相當重要，
這次在虛擬機VM搬遷的過程中，硬碟設定失誤，造成檔案永久消失，才讓大眾發現，原來這些重要檔案都沒有備份。根據一般業界的標準，檔案基本備份是三份，重要檔案可能更多，為求風散風險，這些備份檔案也會透過雲端儲存技術備份在不同地區，增加資料保護強韌度。但在此事件中僅是一個重新開機的動作就讓資料消失了。

資訊安全的內涵是保護單位或組織之資訊資產，並透過相關軟、硬體協助，如系統監測、權限控管等方式，確保資料／資訊的「機密性、完整性、可用性」。
五倍券驗證碼在不該出現的地方出現，是資訊的機密性出現問題；而學習歷程遺失則是在資料的完整性、未來的可用性發生狀況。
這兩個事件，都透露出政府資安存在很大隱憂。

政府的智慧化其實代表著，
未來會有更多的政府服務，
會透過科技工具來完成，
而資安的概念不是只有IT人員需要，
而是在整個政策規劃、管理及驗收各單位都需要的概念，
五倍券為了特殊目的在短時間開發出來的系統，
這個系統在規劃的同時是否考量資安相關問題，
在驗收的程序中是否有特別針對資安進行測試。
而在學習歷程的建制中，資料的重要性是否與採取的保護手段相符
這些過程都是可以發現資安問題的關卡。
因此，呼籲行政院應納入資安檢核程序在涉及科技服務採購、委外，
政府應建立資安風險評估機制，在採用數位方案前先進行資訊安全評估，
以確保政府資訊安全。

說個笑話，
國防部 沒想到誤觸雄三飛彈會射出去
經濟部 沒想到椅子滑會造成核電廠停電
教育部 沒想到手滑會讓學習歷程檔案全消失

#原來滑一滑就能滅國了
#教育部應保證學習歷程檔案不會再遺失
#政府資安真的不能等

MOVEit強化日常資安防護，新增金鑰自動輪替與多因素認證🛡🔑

安全檔案分享軟體系統MOVEit發表2021版，強化資料機密性與使用者身分驗證，也能自動封鎖密碼嘗試失敗次數過多的IP位址以及帳號。而在更新的進階任務設定介面當中，MOVEit 2021將網頁介面變得更簡單易用，也改善了工作流程的建立方式，毋須下載、安裝個人端程式。
🔺更多資訊: https://reurl.cc/yE7EgO

AWS Express Training 尖峰學堂 - Securing Your AWS Cloud [線上]

藉助 AWS，您將獲得所需的控制權和信心，以利用當今最靈活、最安全的雲端運算環境來安全地開展業務。作為 AWS 客戶，您將受益於 AWS 資料中心和架構網路，可對您的資訊、身分、應用程式和裝置提供保護。憑藉 AWS，您可以透過我們全面的服務和功能，來提升滿足核心安全性和合規性要求的能力，例如資料本地性、保護性和機密性。 AWS 可讓您自動執行手動安全任務，因此您可以將重心轉移至業務擴展和創新上。另外，您只需為使用的服務付費。所有客戶都能從 AWS 這個唯一商業平台獲益，其中的服務產品和關聯供應鏈都經過審查，且被認為足夠安全，可用於高度機密的工作負載。

日期：2020 年 9 月 17 日
時間：下午 15:00 – 16:30
報名：https://go.aws/32s1lHr