國家資通安全科技中心即將於4月1日掛牌,但時代力量及民進黨立院黨團要提案廢止該中心,如何善用資安科技中心過往累積15年的資安能量,將是一大考驗。

前一陣子,有許多的新科立法委員以及學者,對於即將在4月1日正式掛牌的「國家資通安全科技中心」(簡稱資安科技中心)有許多的質疑,除了該中心的定位問題之外,有更多立委的疑問在於,新舊政權交接在即,為什麼要讓原本委外給資策會執行的技術服務中心成員「團進團出」,直接轉進到國家資通安全科技中心工作?甚至於,時代力量立院黨團協同民進黨立院黨團,也將於3月29日的立法院院會中,討論廢止「國家資通安全科技中心」,並預計逕付二讀。(3月30日更新:由於國民黨團反對此一提案,本案進入為期一個月的朝野協商程序。)

面對這波從學界到立院對於資通安全科技中心的質疑,也讓過往不被多數人所重視的臺灣資安戰力問題,獲得更多人的關注以及更多元的討論。但是,我們需要關注的重點不在於資安技術中心該不該廢止,而是,如果立委們決議提案廢止資安科技中心,替代方案是否可行?中間所謂的過渡時期,是否能夠做到無縫接軌?

目前由技服中心轉任資安科技中心的成員們過往的經驗和戰力,是否還能夠順利保留下來並有更大發揮的空間呢?據了解,在立委提案廢止資安科技中心之際,已經有大約五分之一資安科技中心的成員開始私下徵詢其他工作機會,這些人才流失,將對臺灣資安現況帶來多大的衝擊呢?相信,這些才是提案廢止資安科技中心之際,所應該關注的重點所在。

技服中心已經累積15年應對中國網軍的經驗

技服中心原本就是在2001年3月於扁政府時期成立的單位,在成立初期,到底應該賦予技服中心什麼樣的定位,甚至該扮演什麼樣的角色,全體同仁都抱持的摸著石頭過河的心態,邊摸索、邊學習,試圖找出可以扮演的角色和定位。

技服中心面臨的威脅包括:來自於網軍或駭客針對特定政府或企業,長期進行有計畫性、組織性資 ​​料竊取的網路間諜行為。最早從1998年起,就發現有蘇聯駭客針對美國政府等官方單位發動攻擊。而臺灣因為政治情勢特殊,早期的資安攻擊事件都視為單一的資安事件,直到2003年9月,技服中心同仁在長官充分授權下,協同警政單位聯手調查發現全球第一起APT (先進持續威脅)攻擊的案例,當時發現已經有中國網軍鎖定88個政府機關進行資料竊取。

因為臺灣也一直是全球所謂的APT攻擊重災區,甚至是,全球如果有各種最新的APT攻擊手法,中國網軍也都會以臺灣作為測試的先鋒基地,如果這樣的攻擊手法可以在臺灣順利入侵成功,隔沒多久,類似的攻擊手法就可能出現在其他國家中。

因此,技服中心在過往15年中,也曾經歷過各種大大小小不同的網軍威脅試探,有成功事先發現新型態攻擊手法的案例,當然,也有不幸被中國網軍成功入侵成功卻遲遲沒能發現的案例。但技服中心面臨的困境,也和全球其他各國政府負責政府資安事件處理與分析的單位一樣,都必須在一次次的挫敗與學習中,才能慢慢摸索出一套屬於臺灣政府對抗中國網軍的應對方式。但是,這世上沒有百分之百成功的防護手法,只有逐步降低被網軍成功入侵比例的方式。

技服中心從原本第一線處理資安事件,轉型第二線資安分析

扁政府時期的技服中心,先後發現許多攻擊的手法及樣態,但是,到了馬政府時期,雖然口中對資安相當重視,對於技服中心的運作,仍維持由行政院研考會負責相關的督導業務的慣例,沒有多所著墨。

行政院研考會作為技服中心的業務督導機關長達12年之久,這段時間內,技服中心一直扮演協助各個政府機關處理各種資安事件的單位,因為有些政府機關本身並沒有配置資安人員,一旦有政府機關發生任何資安事件需要緊急處理時,技服中心都是第一線協助處理的單位。

至於相關的資安幕僚作業,包含資安政策規畫,原本由行政院科技顧問組兼辦,直到2011年3月成立行政院資通安全辦公室(簡稱資安辦)後,資安幕僚的角色才由資安辦接手;再加上配合2012年元旦開始的行政院院本部的組織改造(政府組改),資安辦才成為常設性的任務編組。而技服中心原本由研考會(組改後為國家發展委員會)負責相關的委辦及督導業務,直到2013年元旦,才改由資安辦負責。

在這期間,技服中心的運作一直到2012年2月由陳冲擔任行政院院長時,找來張善政擔任跨部會協調的科技政委,負責政府相關的資安事件處理,後來也擔任政府資安長後,開始有了一些改變。

後來,在張善政的規畫下,為了蓄積臺灣能有更多的資安能量,也讓僅有一百人出頭的技服中心,可以發揮更大的價值,他積極推動「國家資安二線監控機制」,由各機關搭配各家第一線資安監控服務業者,共同關注外在資安威脅、內在系統弱點,落實法規遵循和協助資安事件處理,並將蒐集到的各種監控資料,分享給退居第二線監控(G-SOC)的技服中心。

張善政希望,技服中心不必為了解決各機關面臨的各種資安事件而疲於奔命,退居政府資安的第二道防線的技服中心,便可就該次攻擊入侵的手法,分析過往是否有類似的案件發生?這次的攻擊對於臺灣整體的威脅程度為何?並針對相關的攻擊做趨勢統計、分類分群,找出相關的攻擊模式,作為未來分析預測的基礎,和第一線資安監控業者合作資安聯防。他認為,透過技服中心對於資安威脅分析全貌的掌握,也有助於政府主事者可以更快速掌握臺灣資安威脅的風險高低。

推動資安三級制,技服中心轉型行政法人負責技術幕僚與支援

技服中心開始扮演政府第二線資安防護的角色後,張善政開始思考推動許多先進國家都採用的資安三級制,有負責政策制定的決策單位,有政策監督與執行的主管機關,以及相關資安技術幕僚與支援的單位。

推動政府資安三級制也有助於跨部會分工,行政院國家資通安全會報負責資安政策的決策(資安辦仍為資通安全會報的幕僚單位,負責資安政策規畫研擬,及執行資安會報交辦的任務,協調各部會執行並落實相關資安政策);科技部擔任資安政策的監督與執行;技服中心則轉型為行政法人,成立國家資通安全科技中心,作為相關技術幕僚與支援的角色。

而成立資安科技中心這樣的法人機構,需要有相關的法源依據,行政院科技部也在2014年8月將「國家資通安全科技中心設置條例」送交立法院審議,歷經3個會期的折衝妥協,才在2015年12月14日三讀通過該條例後,總統於同年12月30日公佈,行政院核定於2016年1月20日正式施行,並於今年4月1日正式掛牌運作。

有學者質疑,資安科技中心的成立是科技部私設公法人,但從整個立法推動的過程中可以發現,技服中心轉型行政法人也歷經波折,設置過程最後是經由立法院院會三讀同意通過,何來科技部私設公法人之說?

面對學者與立委的9點質疑,資安科技中心有助政府提高資安戰力

有許多人對於技服中心過往的歷史與演變並不清楚,只覺得負責政府資安的技服中心是委外給資策會執行後,連帶技服中心的名聲也跟著臭掉了。因此,由私法人的技服中心轉型成行政法人資安科技中心的同時,便有學者質疑,相關人事採用「團進團出」的方式,是侵犯新政府的人事權。

首先要思考的是,這樣人員的團進團出,真的是侵犯新政府的人事權嗎?

目前轉任資安科技中心的人員就是原本在技服中心工作的人員,其中,有一些人選擇留在資策會,但多數的人都直接從原本在技服中心工作,轉任到資安科技中心繼續工作,而相關人員在轉任後,薪水都和原本是一樣的,這對於原有技服中心員工其實是一種工作權的保障。

再者,學者又質疑,採用團進團出的方式加上沒有淘汰、審核員工機制,也是侵犯新政府人事權。

試問,對於以技術能力為導向的技服中心或是資安科技中心而言,扮演技術幕僚的角色,想要在短期間內找到上百名具備資安技術的專家,也要熟稔政府資安威脅態勢,豈是一件容易達成的任務?因此,讓有意願留任的資安專家以「團進團出」的方式,繼續在資安科技中心服務,實在看不出來,何以有侵犯新政府的人事權。

技服中心原本就有自己的績效評估機制,加上,許多企業整併時,除非是決議裁員,否則,為了穩定軍心,在一剛開始也都是以留任原有員工居多,實在看不出這樣的留任有何不妥。

而資安科技中心原本規畫的編制達180人,在面臨新舊政權交接之際,則是遇缺不補,這難道不是一種尊重新政府人事權的表徵嗎?

第三點,學者質疑,資安並不在科技部成立之初的目標,將科技部指定為資安科技中心的督導單位並不合適,學者建議,應該資安科技中心應該隸屬內政部而非科技部。指派哪個部會作為資安科技中心的督導單位,其實是行政院的職權,當初指派科技部的關鍵原因之一,在於資安科技中心也要扮演資安技術研發的角色,而科技部有研發經費可以作為資安研發之用,才有這樣的指派。

若要參考學者建議以內政部或者NCC作為督導機關或政策規畫機關,倒不如直接將資安三級制中間的督導層級拿掉,可以直接隸屬行政院資通安全會報,從三級制走向更扁平的二級制。而且,依照現行規定,行政院副院長也兼任資通安全會報召集人,在層級上具有一定高度,也容易有實權,要跨部會溝通也更容易。

當然,臺灣也可以參考中國成立信息部,掌管所有資訊與資訊安全相關事宜;或者是仿效韓國,設立韓國資訊安全部(KISA)掌管所有網路與安全相關事宜等,都是可以參考的機制。但面臨的問題就是,政府組改後,要新設任何一個機關部會難度都很高,能否增設主管資安科技中心的單位,幾乎是不可能的任務。

是否要參考學者建議,指派連Google網路業務都不願意管理的NCC,或者是業務屬性繁雜的天下第一大部內政部作為資安科技中心的業務督導機關,新政府在正式交接後,再行指定也無妨。資安科技中心是否要成為具有學者口中,具有公權力且有調查權的單位,或者和其他單位的資安單位整併,只需要提案修改設置條例即可。若因上述兩種情況而決議要廢止資安科技中心,實在是因噎廢食。

第四點,有立委認為,資安科技中心董監事名單政府代表只有三分之一,政府喪失主導權。事實上,大家都知道,先進的資安技術來自產業,尤其是許多先進國家的資安防護技術往往具有獨特專利甚至是防護準則,有產業代表加入董監事作為顧問諮詢的角色,將有助於整體資安技術能力的提升;而政府代表才有權引領政府資安政策走向,政府根本不可能喪失主導權。

更何況,對資安科技中心而言,產業代表的董監事往往是「求之而不可得」,因為一旦擔任資安科技中心董監事成員中的產業代表,就表示該公司無法參與政府的資安標案,光是這一點,就足以逼走許多具有先進資安技術研發能力的產業代表。

第五點,有立委質疑,不論是技服中心或者是資安科技中心的成員,因為資安等於國安,也會涉及國家機敏資料,都應該要對相關人員祭出旋轉門條款,以及規定離職多久內,不得在中資公司任職的規定。

雖然資安等於國安,但不是所有的資安都等於國安,以技服中心轉型資安科技中心的任務導向,有一些威脅情資的分析仍有等級之分,並不是所有資安科技中心的成員所經手的業務,都是機敏的國家安全業務。

根據側面了解,早期由行政院研考會督導技服中心時,當時會針對技服中心的資安專家們,尤其有機會經手比較關鍵資訊的成員做背景調查;資安辦接手後,雖然沒有做類似的調查,但對於經手較為機敏資訊的人員,仍維持原本技服中心的作法,對於人員出入境都有嚴格的控管。例如,目前大約有三分之一的原技服中心人員,要出國必須提前20天前申請核准,而且不準到中國旅遊,除非是公務所需且經主管機關同意才行;在離職一年內,也不得到中資機構任職。

當技服中心只是私法人時,對於牽涉機敏資料的人員都已經有做嚴格的規範,資安科技中心成為行政法人後,在裡面工作的人員等於是準公務人員,更可以有類似的資安控管要求。對於資安科技中心牽涉機敏資料的人員,採用同公務人員一致的要求是合理的,卻不可以將扛著「資安等於國安」的大旗,將這樣的要求無限上綱。

第六點,面對有立委質疑,臺灣政府被網軍入侵後,必須要花8.5個月才能發現,甚至藉此質疑,一旦成立資安科技中心可以縮短多少面對攻擊入侵政府機關或企業的潛伏時間呢?

事實上,沒有任何資安專家可以對此打包票,因為,資安攻擊越來越複雜,要縮短駭客在政府或企業的潛伏期,越來越難。根據資安公司FireEye的M-Trend報告,即使是美國面對APT攻擊在企業的潛伏期,從2011年的416天,在近年來的努力下,也逐漸縮短到2015年的146天;但若參考像是趨勢科技的研究資料,臺灣面對APT潛伏期為559天,極端案例甚至超過2千天。因此,成立一個資安科技中心不一定能夠完全改善政府資安威脅現況,但至少會有一點減緩效果。

第七點,包括學者和立委都質疑,為什麼不在資通安全管理法通過後,才據此通過「資通安全科技中心設置條例」呢?事實上,行政法人的設置條例,就像組織改造一樣,只要立法院通過相關的設置條例即可。

資通安全管理法基本上是一個作用法,主要是一個同時規範政府和企業,包括關鍵基礎建設相關的產業,以及有運用資通訊工具資安和其他相關產業時,面對資安威脅時應該要投入的資安資源多寡。

臺灣制定資安管理法時,曾經參考美國新聯邦資訊安全管理法(FISMA 2008)的精神與內容,該法規定美國各政府機關必須發展、制定和執行資訊安全計畫,每年也要針對資訊安全控管政策、程序、實務等面向進行測試與評估。而美國新聯邦資訊安全管理法則賦予白宮管理和預算辦公室(OMB,Office of Management and Budget)及國家標準技術局(NIST,National Institute of Standards and Technology)對聯邦機關進行監督與審查的相關職權。

但因為資安管理法規範民間企業應該要投入資安資源,包括政府部門與一些民間企業在內,對於資安的預算、人力等資源分配可以更為明確化,讓資源不足不會成為沒有落實資安的藉口。

因此,從資安辦一路到科技部等行政單位推動立法的過程中,頻頻遭到許多來自利益團體代表的壓力,就是不希望政府規定,企業必須要花錢投資在資安上,也使得原本在2014年已經有草案的資安管理法,遲遲無法由科技部提出一個完整的行政院版,送交立法院進行審議。如果學者和立委認同資安管理法有急迫通過的必要性,應該要求科技部儘速推出政院版的資安管理法,以最快速度排入立法院院會的一讀,進入立法院委員會的實質審查。

他山之石最好的案例就是韓國,便透過立法方式,強制韓國企業必須定期做滲透測試,也造就5千萬名人口的韓國,卻有超過200間以上的資安公司。至於範圍更大的資訊基本法,則由國家發展委員會負責草擬,但是不論資訊安全管理法或資訊基本法,哪個先通過或後通過,本質上並不互相排斥,還可以達到相輔相成的效果。

第八點,為了不要重蹈資策會左手從政府接案,右手又立即轉包的與民爭利行為,加上,資安往往是無法立即看到成效的投資,如何讓資安科技中心可以順利的發揮第二線政府防線的功能,並避免為了要自籌經費而必須與民爭利的情況,未來新政府能否同意,資安科技中心是政府必要的投資(以往委辦經費每年是2.65億元),經費來源除了以政府編列相關預算外,其餘就是捐助經費,不讓資安科技中心的成員擔心沒有錢維運,也藉此讓政府有健全的資安能量。

最後一點,其實也是為什麼要成立資安科技中心最關鍵的原因,就是為了要解決資安委外對政府資安帶來的風險。因為先前由資策會負責維運技服中心,即便當時資策會在研考會的要求下,都是由專職人員負責維運技服中心,但在資安等於國安的前提下,政府能夠對資安威脅控管具有的主控權,才是最合適的,才有轉型資安科技中心的提案產生。只不過,在許多複雜因素的交雜下,這個主因卻被多數人所忽略。

資安科技中心蓄積豐富資安能量,如何善用是關鍵

技服中心在2001年3月成立之後,歷經經濟部、前研考會、院資安辦等機關委辦及督導等各個階段,除了協助行政院資安會報逐步建置政府機關分級管理、國家資安防護管理平臺(N-SOC)等重要機制外,也提供政府機關事前安全防護、事中預警應變、事後復原鑑識等資安技術服務,都有助於提升政府整體資安能量。

加上,各界普遍認為,資安涉及國家安全,不應該長期以委外的方式辦理,加上資安具有高度專業性,相關資安人才也相當缺乏的情況下,既有的行政體系根本無法承接任務屬性如此複雜的資安任務,若改由具備智庫幕僚、技術研究、系統開發、專業服務及訓練推廣能量的技服中心,轉型行政法人承接相關的​​​​資安業務,其實也是現階段相對好的選擇。

但是,立法提案廢止也將使得資安科技中心的成員感到不安,即便,廢止資安科技中心設置條例後,就只是恢復原本由科技部委由資策會的情況,經費早已編列,原來工作今年不受影響,但一切都回到原點,過往的努力形同白費。此時,因為人心不安造成的資安戰力流失時,景況只會更糟,對於國家整體資安威脅的掌控,更是大扣分。

 

本週(3/20~3/26)重要資安事件回顧:

報告:激進駭客組織一度掌控自來水廠

「怯場」漏洞修補有嚴重落差,還有8.5億Android裝置曝攻擊風險

微軟聊天機器人少女Tay被網友教成納粹份子,上線不到一天黯然下場

只要225美元的無線電波接收器,就可以在沒有鑰匙前提下偷走24款汽車,連BMW、Toyota都受害

美國政府控告3名敘利亞電子軍成員

iOS 9.3更新傳出災情,部份舊款iPad2更新後變磚頭

要幫FBI解密iPhone的是一家以色列行動鑑識公司

Uber五月將舉辦抓漏獎勵活動,獎金上看1萬美元

思科重整事業群,建立物聯網、網路、雲端及安全等四大部門

CoreOS釋出容器漏洞掃描工具Clair正式版,可提供和更新漏洞修補程式

蘋果iMessage爆漏洞,用戶傳訊內容被看光光

全日空因係統故障,日本國內航班交通大亂

資安業者開發Android攻擊程式Metaphor,可攻陷三星、LG及HTC手機

報導:孟加拉央行竊案後,SWIFT要求會員銀行加強資安措施

美國政府公開提醒消費者及車廠重視汽車資安

 

 

 


Advertisement

更多 iThome相關內容