經濟日報
一家機房代管業者在2月25日發生火災,殃及中華電信旗下是方電訊的機房供電營運。是方電訊所代管的數百位用戶主機被迫停擺,包括國際海纜、台灣聯外網站以及企業通訊都受到衝擊,部分的學校、速食、高鐵、線上遊戲、入口網站、人力銀行、電信企業等,皆受到影響,估計有上百萬使用者受到波及,是921地震以來最大規模的網路受害事件。
基本上,由於全球經濟前景不明,企業為降低成本,減少資訊設備投資意願;加上自建機房風險極大,如建物、主機或空調電力及維運費用,以及全球重大天災頻傳,災難備援、服務可用性備受重視等幾個因素驅動下,企業資訊委外及主機代管近幾年來逐漸蔚為風潮。
不過,為了降低風險而委外代管的舉措,竟然轉移成另一種風險,而且其所造成的損失及影響更為廣泛,相信這是許多企業、甚至主管機關也沒有預料到的事。這場火災不但燒出機房代管及雲端服務的潛在危機,也凸顯了在現代社會所有政府治理、產業營運及民眾日常生活皆高度依賴資訊科技的狀況下,這些資訊基礎建設的安全,不僅應受到高度的重視與防護,而發生災害後如何迅速恢復營運,也應有必要的部署與準備。
以金融體系為例,一旦當機停擺,輕則無法進行如信用查詢、跨行交易、證券買賣及結算,衝擊企業營運及民眾權益,重則影響國家經濟及社會秩序;又如醫療衛生體系,其為維護民眾健康的第一道防線,若被破壞或無法立即恢復運作,勢將影響人民生命安全。也因為金融、醫療均為最直接面對民眾之生命財產安全,一旦發生災難或資安威脅影響甚巨,是以各國政府多將其列為優先保護之領域。然而,金融、醫療為最上層的應用領域,其高度仰賴電信網路、電力系統等更底層基礎建設的支援,因此也多將這些基礎建設列為關鍵基礎建設在保護。
從國家永續、產業發展及社會安定的角度來思考,如何保護這些資訊基礎建設的安全與持續運作,的確需要賦予必要的關注與充分的資源。以下是對政府及主管機關的幾點建議:
首先,需確認個別體系風險,建立應變作業流程。災變發生時,所有部門皆面臨資源調度與人員即時溝通的問題。為加速搶救與復原時效,個別體系的順暢運作實為關鍵。因此如何確認個別關鍵資訊系統可能的威脅狀況、弱點以及與相關機構或企業的連結、應變合作關係,以逐步建構整體領域的防範規範,實為當急之務。
其次,應建立跨領域之隨機演練機制,防患未然。例如金融與醫療系統均依靠電信與電力維持資訊機房、資訊設備的運作,亦仰賴網路系統的傳遞資訊。一旦這些底層系統失效,將嚴重影響金融與醫療體系的運作,透過跨領域的演練,不僅可以掌握弱點與領域間的依存關係,也可讓決策主管有感,促成實際行動。
最後,公眾媒體資訊基礎建設的保護也應納入整體策略考量。當災變發生時,民眾與救災人員對媒體資訊的依賴亦隨危機情勢而升高,部分民眾與救災人員可能因為行動通訊的失效,而必須仰賴公眾媒體發布的資訊作為逃生或救生的依據,此時公眾媒體的資訊基礎建設是否能安全運作即成為關鍵,因此在制訂關鍵資訊基礎建設保護策略時,公眾媒體也應被納入。不過,因為關鍵資訊基礎建設間錯綜複雜的依賴與支持關係,使得對公眾媒體保密已成為公部門與企業運作的常態,這在非常時期可能阻礙整體保護行動的運作,因此策略上如何建立互信機制,以降低災變時可能的危害與損失,也需未雨綢繆。
沒有留言:
張貼留言