在全球網路攻擊威脅日益加劇的背景下,英國的資安策略正經歷一次象徵性的轉向。英國國家網路安全中心(NCSC)近日發出罕見警告,呼籲企業必須備妥紙本應急計畫,以確保在遭受災難性網路攻擊,導致 IT 系統完全癱瘓時,組織仍能維持基本營運。
這項建議的背後,是日益嚴重的威脅等級。在 2024 年 1 至 9 月期間,NCSC 處理的網攻事件中,屬於「全國性重大」(第 1–3 級)的事件數量激增至 204 起,幾乎佔總數的一半,相較去年大幅上升。事件類型涵蓋供應鏈中斷到醫療系統崩潰,顯示攻擊的規模與衝擊力道,已達到傳統資安措施難以支撐的程度。
紙本應急成核心策略
NCSC 呼籲企業必須具備「無 IT 狀態下」的營運計畫,並將關鍵應變流程儲存在紙本或離線載體中。這包括內部溝通機制、手動處理方式,以及災後重建步驟。
這項看似不合時宜的建議,旨在應對現代網路事件的關鍵現實:當勒索軟體或破壞性惡意軟體鎖定或清除數位系統時,即使是儲存在雲端的備份也可能無法存取。在這種情況下,組織需要無需電源、網路存取或身份驗證即可使用的聯絡人清單、說明和決策樹,作為立即依賴的資訊。
為此,英國政府多位高層,包括科技大臣、財政大臣、安全部長等,聯名致函企業領袖,強調網路彈性必須成為董事會層級的優先事項,各組織必須做好長時間無 IT 系統運作的準備。
「彈性工程」成新共識
政府的信函向公司領導者提出了三個要點:
- 企業應該將網路彈性視為治理問題,並遵守政府新的網路治理行為準則。
- 建議所有組織註冊 NCSC 早期預警服務,該服務會向公司發出潛在漏洞或活躍威脅的警報
- 建議企業在自身營運和整個供應鏈中實施網路基本計畫
這標誌著資安思維的轉變:企業被敦促將目光投向網路安全控制之外的「彈性工程」(Resilience Engineering)策略,這個策略著重於建立能夠在受到攻擊時預測、吸收、恢復和適應的系統。
網路安全公司 Check Point 的公共部門負責人 Graeme Stewart 表示,提倡使用紙和筆可能聽起來有些過時,但很實用;他同時指出,一旦成為駭客攻擊的目標,數位系統就會變得「毫無用處」。他強調:「網路安全需要與健康和安全同等重視:不是可有可無的,不是事後才想到的,而是日常工作生活的一部分。」
政府送保險,推企業高層正視營運風險
政府的直接干預標誌著網路風險如今被界定為一個重要時刻,即它不再只是技術防禦,而是關乎國家連續性和韌性。直接致函公司高層的決定表明,網路攻擊已從 IT 部門蔓延至董事會,成為一個需要領導力展現的營運、財務和聲譽問題。
除了加強準備和協作,政府還要求各組織更多利用 NCSC 提供的免費工具和服務,例如鼓勵企業參與 Cyber Essentials 認證計畫,並為通過的中小企業提供免費網路保險,試圖透過普及化防護來擴大資安意識。
這場由紙面和螢幕上展現的韌性,正試圖彌合數位化野心與實際生存能力之間的差距。如果企業認真看待這項訊息,最終可能會創造一個更穩定可靠的數位經濟,能夠抵禦不可避免的破壞。
*本文開放合作夥伴轉載,參考資料:《BBC》、《Really good computer services》,首圖來源:Unsplash
(責任編輯:鄒家彥)
線