【資安周報第21期】軟體實力就是資訊國力，但是資安才是資訊國力的基礎

上周準行政團隊一對外揭露要用Line作為團隊內部即時溝通工具，一方面引起媒體高度關注，讚揚新團隊溝通方式更即時，但另一方面也引發外界對於採用國外通訊軟體的質疑，準內閣也在兩天內迅速改弦易轍，決定棄用Line，評估改用國產即時通訊軟體的可行性。從這裡我們也可以深刻的體認到，軟體實力就是資訊國力的體現，臺灣國產軟體在國際能見度仍處於弱勢，在這次事件可見一斑。

不過，之所以會引爆外界對於準行政團隊採用Line作為溝通工具的質疑，「資安」的隱憂，才是這起事件真正關鍵核心。如果背後沒有安全作為資訊國力的支撐，這樣的國力也是假的，因為一遇到資安事件，國家系統就有崩盤之虞，在國際社會上，更是侈言臺灣是資訊國力強大的國家。

臺灣駭客是站在政府後面而不是政府對面

臺灣過去十一年來，透過資安社群的蓬勃發展，慢慢的讓更多人意識到資安的重要性，更透過各種資安活動的舉辦，包括邀請國內外優秀的資安研究員參加社群場以及企業場的資安研討會，遇有重大資安事件緊急舉辦的Free Talk，甚至是現在越來越頻繁的企業漏洞通報等，加上與國內外各種資安社群的交流，也讓過往媒體上只有負面形象的「駭客」有了更多更正面積極的意義。

對資安的重視與累積，並非一朝一夕可以達成，不過，成果的累積很辛苦，但要毀壞卻只要一夕之間。如同準總統蔡英文對準行政團隊說的：「八秒鐘失言，可以毀了八年的累積。」資安也是同樣的情況，因為資訊安全本身是一種信任，要累積很難、毀壞卻很容易。

臺灣駭客協會也恰好在上週25日舉辦了成立一周年的感恩茶會上，長年支持HITCON這個社群，並一路看著臺灣駭客協會從社群到成立正式組織的臺灣科技大學資管系教授吳宗成，在茶會上一句：「臺灣的駭客是站在政府背後，而不是站在政府對面。」贏得現場如雷的掌聲。而吳宗成這句話，其實也是代表臺灣駭客社群對於法務部部長羅瑩雪在面對立委質詢時說：「臺灣駭客是站在政府對面。」的說法，予以最強而有力也是最直接的回應。

面對越來越複雜的安全議題，不僅許多人的電腦系統和文件被惡意的勒索軟體鎖定、資料加密後，甚至不得不支付高額的贖金，期能換得可以順利解密的金鑰；加上，萬物聯網，有越來越多裝置，也得面對是否會被駭客入侵的風險等等；甚至於，各國國際情勢詭譎多變，加上得堅守各國利益，不論各種國家級的監聽、攻擊等，更是家常便飯。

而國家關鍵基礎建設（CIP）或是關鍵資訊基礎建設（CIIP）的安全性，像是油、水、電、交通、金融和醫療等設施安全也益形重要，例如去年底耶誕節，在烏克蘭發生的烏克蘭電廠電力中斷的事情，隨著有越來越多這類關鍵基礎建設的工控系統，都開始會以網路作為主要的系統串接的骨幹時，不論是人為的意外，或被駭客攻擊入侵的發生頻率，也會越來越頻繁。因此，國家要有強大的資訊國力，勢必得有安全作為國家所有系統連結和運作的根基。新政府即將上任，對於安全的議題實在難以輕忽。

臺灣軟體人才陸續流向中資企業，已經是一種國安風險

安全與信任是現在在網路串連和科技掛帥的社會中，所有使用者的基本共識，有安全，才有機會實現準總統蔡英文說要打造網路大國、物聯網大國的目標和願景。

但是，此時的臺灣此時卻已經血淋淋的面臨另外一個挑戰，那就是臺灣軟體人才短缺，而短缺的原因則是如其他媒體所報導的，臺灣一流的軟體工程師，都被高薪挖角到中資公司上班了，實力夠好的軟體開發工程師，薪水往往是前面的數字不變，但是幣別直接以人民幣取代新臺幣，薪資增長3～4倍之多。

這種臺灣軟體人才外流已經是一種資訊國力走下坡的展現，更已經是一種國安風險，優秀的軟體工程師因為臺灣企業遲遲無法提供更好的留才條件和動力，只能眼錚錚看著這些優秀人才，拼命往中資企業流去。

臺灣向來以資訊硬體製造大國自豪，緊密連結的供應鏈廠商，造就臺灣資訊硬體製造的國際優勢。不過，硬體製造的榮光已經過去，，像是一支128 GB的iPhone 6手機若售價500美元，但製造商的製造成本，每一支iPhone 6的成本可能只有5～10美元，產品的價值是背後的軟體所創造的。對臺灣資訊業者而言，長期硬體製造的從早期保5保6，到現在可能連保1保2都不可得的情況下，，要避免低毛利的硬體產品普及，就一定得走向軟體研發，未來，國家和企業都應該要選擇「軟體投資」才是真正的王道。

或許有人會說，臺灣其實還是有一些法人機構有肩負起軟體研發的任務，像是工研院研發的即時通訊軟體揪科（Juiker），如果不是有事先看到這樣的即時通訊App的發展趨勢，並且願意投入研發人力，到後來，政府需要有一個國產研發的即時通訊軟體時，可能就沒有其他的選擇。

但相較於中國或是其他國家對於軟體人才的求才若渴，臺灣政府沒有多餘預算加上一些公務人員任用條例的限制，以及民間企業忽視軟體投資可以帶來的價值，還在以22K來聘僱員工等，都只會讓臺灣整體軟體研發實力更為下滑。

根據臺綜院研究三所所長蘇漢邦的研究，人均所得越高的國家，其IT軟體服務支出占GDP的比重越高，但臺灣IT軟體服務占GDP支出不到1％，軟體投資力道甚至比馬來西亞和越南還差。根據蘇漢邦的研究，臺灣如果能夠有足夠的軟體投資，例如，前一期民間企業對軟體投資增加1％，當期GDP會增加0.44％；若是前一期政府對軟體投資增加1％，當期GDP也會增加0.21％；前一期政府對軟體投資增加1％，當期產業附加價值則會增加0.35％；但如果是其他資訊硬體或其他硬體設備的投資，對於國家GDP和各產業增加則不顯著。

面對現在的時代，不論是政府或民間企業都無法忽視軟體投資帶來的價值，而優秀的軟體開發人才更是各國求才若渴的對象，甚至於，軟體開發實力其實這就是一個國家資訊國力的展現；而要有好的資訊國力，背後就需要安全做支撐，才能夠讓資訊國力名符其實。

對臺灣而言，中國飛彈如果炸掉立法院，頂多只是損失113個政治人物，臺灣的運作不會受到影響；如果飛彈炸掉行政院，會損失一批優秀的公務員，許多政府服務中斷，運作可能得暫停一個星期；如果飛彈炸掉新竹科學園區，臺灣的GDP可能得減少5％，得花一年～三年才能彌補這個斷層；但是，若飛彈炸掉中研院或者是內湖和南港軟體園區，以及許多優秀臺籍軟體工程師齊聚的臺北101大樓的話，就可能毀掉臺灣一群有戰鬥能力的轉體開發工程師，讓臺灣軟體實力甚至會會倒退一個世代，得花10年的時間才有下一代人才做遞補。也就是說，軟體開發人才和資安人才，將是臺灣保有資安國力最重要的後盾。

本週（4/24～4/30）重要資安事件回顧：

※準行政團隊Line國事作法急轉彎，準經長受命客製臺版即時通

※假攻擊真詐騙，駭客光靠喊著「狼來了」騙走逾10萬美元

※從Google Play下載App保證安全!？ 資安業者：超過100款惡意程式會偷資料、點擊詐騙

※準行政團隊設立Line溝通群組，專家質疑：臺灣科技資安政策在哪裡？

※Android手機勒贖軟體有新招，藉惡意廣告攻擊勒索iTunes禮品卡代碼

※報導：SWIFT承認發現數起來自其系統的疑似詐騙事件

※以匿名網路Tor造訪臉書用戶數已超過100萬

※迎接2020東京奧運觀光潮，日本10月將測試指紋、靜脈掃描支付服務

※打擊犯罪，荷蘭、加拿大跨國合作關閉有1.9萬用戶的加密地下網路

※抓漏獎勵成風潮，MIT鼓勵師生協助強化網站安全

※AWS也要幫忙找網站弱點，弱點評估工具Inspector正式出爐

※太威了！臺灣資安研究員發現臉書伺服器被植入後門程式

※孟加拉央行遭盜轉，報導：10美元二手交換器惹的禍