罕見倡議「回歸紙筆」！英國推韌性工程，要求企業備妥資安離線計畫

在全球網路攻擊威脅日益加劇的背景下，英國的資安策略正經歷一次象徵性的轉向。英國國家網路安全中心（NCSC）近日發出罕見警告，呼籲企業必須備妥紙本應急計畫，以確保在遭受災難性網路攻擊，導致 IT 系統完全癱瘓時，組織仍能維持基本營運。

這項建議的背後，是日益嚴重的威脅等級。在 2024 年 1 至 9 月期間，NCSC 處理的網攻事件中，屬於「全國性重大」（第 1–3 級）的事件數量激增至 204 起，幾乎佔總數的一半，相較去年大幅上升。事件類型涵蓋供應鏈中斷到醫療系統崩潰，顯示攻擊的規模與衝擊力道，已達到傳統資安措施難以支撐的程度。

紙本應急成核心策略

NCSC 呼籲企業必須具備「無 IT 狀態下」的營運計畫，並將關鍵應變流程儲存在紙本或離線載體中。這包括內部溝通機制、手動處理方式，以及災後重建步驟。

這項看似不合時宜的建議，旨在應對現代網路事件的關鍵現實：當勒索軟體或破壞性惡意軟體鎖定或清除數位系統時，即使是儲存在雲端的備份也可能無法存取。在這種情況下，組織需要無需電源、網路存取或身份驗證即可使用的聯絡人清單、說明和決策樹，作為立即依賴的資訊。

為此，英國政府多位高層，包括科技大臣、財政大臣、安全部長等，聯名致函企業領袖，強調網路彈性必須成為董事會層級的優先事項，各組織必須做好長時間無 IT 系統運作的準備。

「彈性工程」成新共識

政府的信函向公司領導者提出了三個要點：

企業應該將網路彈性視為治理問題，並遵守政府新的網路治理行為準則。
建議所有組織註冊 NCSC 早期預警服務，該服務會向公司發出潛在漏洞或活躍威脅的警報
建議企業在自身營運和整個供應鏈中實施網路基本計畫

這標誌著資安思維的轉變：企業被敦促將目光投向網路安全控制之外的「彈性工程」（Resilience Engineering）策略，這個策略著重於建立能夠在受到攻擊時預測、吸收、恢復和適應的系統。

網路安全公司 Check Point 的公共部門負責人 Graeme Stewart 表示，提倡使用紙和筆可能聽起來有些過時，但很實用；他同時指出，一旦成為駭客攻擊的目標，數位系統就會變得「毫無用處」。他強調：「網路安全需要與健康和安全同等重視：不是可有可無的，不是事後才想到的，而是日常工作生活的一部分。」