資安問題已成為全球產官學界的挑戰，多數攻防都在民主與極權國家，以及特定戰略性產業中展開，事實上，中南美洲在美中角力下也成為兵家必爭之地，當地的資安攻防如何？能給我們什麼啟示？

圖片來源 : shutterstock、達志影像

透過風險管理框架與雲端強化資安

拉丁美洲國家正在加緊努力應對日益增長的勒索軟體攻擊威脅，展現出防禦立場和積極主動的方法，以增強網路彈性和創新並保護重要基礎設施。像是哥斯達黎加和哥倫比亞等國的資安事件引發整個地區的強烈反應，即便這些國家的數位準備度不若已開發國家，且正處於製定全面網路安全政策的早期階段，但由 Digi Americas 聯盟及其拉丁美洲 CISO (資安長) 網路與杜克大學合作聯合製作的《拉丁美洲公共部門的網路準備：前線教訓》報告，點出該地區先進網路安全措施的發展，也讓我們能夠一窺當地狀況。該報告研究如哥倫比亞、哥斯達黎加、智利和巴拿馬的案例，以及評估國家政策回應策略是否有效，以及如何採用風險管理框架（RMF）與公有雲來加強網路防禦。

面對不斷升級的勒索軟體風險和提高資料安全性的需求，中南美洲政府官員認為加強公共和私部門的網路安全至關重要。儘管網路準備和回應方面仍存在差距，但從頭開始建立資安文化已取得重大進展，資安標準部分，中南美洲國家主要參考對象之美國國家標準與技術研究院 (NIST)網路安全框架 (CSF) 2.0被認為是一種多功能工具，該框架應可符合當地需求。調查結果顯示，中南美洲強烈支持導入風險管理框架，94% 的受訪者認為框架能夠強化政府與企業應對網路威脅的彈性，近四分之三 (72%) 的人已將框架納入其網路安全策略；而那些沒有將資源限制視為主要障礙的人，由於提高安全性的需求，對基於雲端的服務的採用也在增加。調查顯示，78% 的受訪者正在使用或計劃實施基於雲端的網路安全基礎設施，並將其視為加強數位防禦的關鍵因素。同時，產業也有許多聲音呼籲，政府應強制要求在合理的時間內報告網路攻擊，避免因疏忽與較弱的數位基礎建設而導致資安危機快速擴散。

一個主要的方法是各國在遭受攻擊後即啟動防禦措施，哥斯達黎加的案例促使該國宣布進入緊急狀態，並制定新的國家網路戰略。就哥倫比亞而言，向哥倫比亞立法機構提交兩項法案，目的在建立一個技術和專門的數位安全機構；另一個重要趨勢是國際合作的力量，拉丁美洲國家積極參與全球對話和夥伴關係，以加強網路安全措施。例如，哥斯大黎加與以色列、日本和美國等多個國家簽署諒解備忘錄，後者宣布計劃在2026年之前提供2,500萬美元的援助，建立網路安全營運中心，哥倫比亞也尋求國際合作，以有效應對網路風險。這項集體努力強調全球合作應對網路威脅的重要性。

哥倫比亞案例

近年來，哥倫比亞與中南美洲其他國家一樣，面臨日益嚴重的脆弱性網路威脅，如果沒有適當的安全措施來保護擴大的數位環境，數位化和網路普及率的激增會增加潛在漏洞和網路攻擊的可能性。事實上，哥倫比亞於2021年躋身拉丁美洲最常受到惡意攻擊的國家行列；2022 年12 月，哥倫比亞的醫療保健系統因資料外洩而遭受損失，包括用戶的敏感健康資訊數據，包括姓名、地址、社會安全號碼和醫療記錄……等等；2023 年 9 月，哥倫比亞網路服務供應商 IFX Networks 成為勒索軟體的受害者，大約 78 家哥倫比亞國家實體和 762 家私營公司受到此次攻擊的影響，其中包括衛生和社會保障部、該國司法部門和監管部門，這事件嚴重影響哥倫比亞政府的日常運作。例如，由於司法部門的門戶網站完全凍結，無法確定系統中的訴訟狀態，200萬例預定的法律訴訟被暫停7天；此外，線上服務也無法運作，這意味著由於醫生無法存取患者的醫療記錄，患者無法進行醫療預約或取得處方。

另一個發現是對網路攻擊的反應很慢，在網路威脅的複雜性中，快速且準確地偵測攻擊，並確定其來源一直是困難的，此外，哥倫比亞政府正在評估和遏制下游影響的複雜性，因為蔓延到互連系統的攻擊變得越來越難以追蹤，這些系統性回應缺陷顯示需要發展能力以減輕網路風險的重要性；因此，哥倫比亞導入NIST 2.0 框架。NIST 2.0 的新功能為治理功能，首先是「治理」功能的引入，它支撐著原始 NIST 框架的所有五個功能：包括識別、保護、偵測、回應和復原。

此外，政府也計劃透過更廣泛的立法制定過程，表明採取積極主動的方法，使哥倫比亞的網路安全治理更完整。整體而言，哥倫比亞當前的資安策略是投入內部能力建設，先安內再攘外，特別是針對威脅情報的能力提前佈局，這些作法目的在保護國家的誠信、促進數位信任並加強對網路攻擊的防禦，隨著哥倫比亞不斷推動數位轉型，遵守這些標準對於公共和商業部門的組織相當關鍵。

資安人才培育才剛起步

網路攻擊已經變得無所不在，影響著多種類型的系統，包括企業基礎設施到電子郵件、應用程式和私有雲端儲存的資料等等。因此，拉丁美洲的資訊長都對訓練和網路威脅意識不足，幾乎都表示擔憂，他們多半希望政府在其財政年度分配資金，為政府僱員配備網路安全工具和緩解網路安全風險的知識。

往下延伸，另一個重要議題是相關對勞動力發展和教育的關注，哥倫比亞、哥斯達黎加、智利和巴拿馬的受訪者強調擴大網路安全培訓計劃，並提高公共和私營部門網路意識的必要性，特別是對資安人才和文化的投資是一個基礎步驟，可以隨著時間的推移推動成熟度、彈性和風險降低，使組織和公民都受益；受訪者建議建立全面的培訓計劃和教育措施來解決這些問題，並建立一支強大的網路安全隊伍。透過增強人力資本，讓拉丁美洲國家可以更好地檢測、遏制網路事件並從中恢復，從而降低風險並提高整體網路彈性。在這問題上，數位美洲聯盟和杜克大學也為拉丁美洲各國政府加強網路安全措施提供數點建議：

(1) 人力資本投資：對人力能力建構的大量投資至關重要，全面的培訓計劃和教育措施將培養公共和私營部門的熟練勞動力，增強網路彈性並培養網路安全文化。

(2) 建立自願風險管理框架：需要一個自願風險管理框架，其中包括混合治理、國家網路安全事件回應小組（CSIRT）和特定部門的事件資料庫，這種緊密結合的結構可提高網路事件回應的協調性和有效性。

(3) 網路安全基礎設施和技術的策略性投資：對網路安全基礎設施和技術，包括雲端解決方案和安全軟體的持續投資至關重要，這確保網路安全措施的現代化並防禦新出現的威脅。

(4) 集中的網路安全管理和報告系統：建議建立集中的網路安全管理和報告系統，以確保對網路事件做出快速、協調的回應，集中管理可以更快地偵測、評估和解決網路威脅，而統一的報告系統則可以簡化跨部門的溝通。

【本文僅反映專家作者意見，不代表本報立場。】

Facebook 在北美智權報粉絲團上追踪我們