行政院副院長/國家資安長 陳其邁

總統蔡英文自從上任後,鑑於網路攻防的日益複雜,以及難以防範,加上深受中國網軍的頻繁攻擊,便揭櫫「資安即國安」的政策方針,不僅成立行政院資安處專責的資安防護機關,更積極推動「資通安全管理法」的立法,且該法已經於去年6月6日公布、今年1月1日正式實施,就是希望透過立法的手段,將政府部門、公法人,以及相關的關鍵基礎設施服務提供者,全都納入資安管理法的規範之中。

行政院身為最高的行政機關,包括相關的人、事、物等,自然也是中國駭客鎖定攻擊的目標。以往院內也曾多次發生下列事件:只要各個部會,有「報派」的新任正副首長消息在媒體揭露後,該部會就會收到該名報派長官秘書的來信,而附件夾檔往往都是一個惡意程式,在收件人不知不覺中,就被安裝在收件人的電腦,等待日後伺機而動,目的往往都是竊取政府相關的機敏資料等等。

因此,為了確保政府的資安,乃至全國的資安,相關的工作都必須持續推動,並且由專人來主持這些業務。而在「資通安全管理法」第11條便規定,公務機關皆應設置資通安全長,由機關首長指派副首長或適當人員兼任,而身為資通安全管理法正式實施後的第一位國家資安長,最重要的任務就是:協助各個部會、機關甚至是關鍵基礎設施提供者等,都能真正從制度、規範,以及相關的專案中,進一步落實資通安全管理法的管理規範與措施,並讓政府資源可以做最有效的運用。

政府重視資安,已推出第五期資通安全發展方案

基本上,臺灣政府重視資安,並不是這一、兩年才開始跟風的事情,早在2001年的時候,當時的行政院就已經定期、每4年提出一套國家資通安全發展方案,作為政府資安推動工作的上位政策。

迄今,最新的版本就是第五期的「106年至109年國家資通安全發展方案」,最終的目的就是希望以「打造安全可信賴的數位國家」為願景,「厚植自我防護能量、保衛數位國家安全」為目標,並從「完備資安基礎環境」、「建構國家資安聯防體系」、「推升資安產業自主能量」和「孕育優質資安人才」等四個策略面向,來推動國家資安防護工作。

其中,針對資安聯防,就是希望從縱深防禦、跨域聯防,以及防制新型態網路犯罪等層面,建構國家資安聯防體系;另外,藉由資安旗艦計畫,以及前瞻基礎建設計畫中,也規畫以六個直轄市為領頭羊的六都聯防,藉此逐步強化關鍵基礎設施業者,以及地方政府的資安防護能量。

另外,我們也必須積極提升臺灣資安產業的市場規模與產值,唯有資安產業成為一個有利可圖、有發展前景的產業時,相關的資安產業生態鏈,才可以創造經濟產值,之後,則要透過需求鏈結、產業升級、關鍵技術研發等面向,更進一步提升資安產業發展的能量。

政府資安人力需求一倍,民間需求十倍以上

今年資通安全管理法正式施行後,所有公務機關都面臨到一個共通的問題,那就是:資安人力明顯不足。

根據資通安全管理法的規定,所有的政府機關都有資安責任等級的區分,其中,如果是名列資安等級A、B和C級單位,在資安法實施後,就必須要分別配置4人、2人和1人的專職資安人力。但現在的問題是,資安法雖然明文規定要有專職的資安人員,但各個機關的大小規模不一,加上受限於總員額法,有許多機關目前並沒有多餘的人力可以補足資安人力缺口。

然而,因為資安很重要,行政院也已經請各機關首長盡可能在總員額的範圍中,優先補足資安人力。在初期的兩年過渡期中,各機關可以採用約聘僱或者是委外人力的配置方式,但在兩年後,仍必須補足正式公務人員的正職資安人力。

由於政府營運本身也像是一個大型企業,在資安方面,可以扮演領頭羊的角色。例如,政府需求是一倍的話,會帶動民間資安需求至少十倍以上,以政府資安人力需求一千多人為例,至少帶動民間資安人立需求一萬人起跳。金融業界因為有強烈的法規遵循要求,許多金融單位甚至直接從政府既有的高階資安人才挖角,這麼一來,也形成一種人才的正向流動。

事實上,目前政府專責的資安人力並不多,在資安法通過後,甚至還有五百多個資安人力缺口待補,然而,一個好的資安人力,就像是一個專案經理(PM),而一個好的專案經理,就像是一個好的將軍,針對配合的委外廠商,他可以指揮若定,達到相互幫襯的效果。

目前來看,資安人力的市場相當競爭,全球對資安人才都需求孔急,不只是國家、企業,連許多犯罪組織、駭客組織也都積極爭取資安人才,舉例來說,美國因為是資本市場,有許多退役的軍官退伍後,就直接高薪聘用到企業任職。

但對臺灣而言,如何提升資安產業、擴大資安市場?現今,行政院本身設立的技術服務中心,除了提供相關的資安訓練課程外,對於政府資安人力素質的確保,有專業證照和一定時數定期教育訓練的要求,同時,也會搭配相關的稽核,落實整個資安流程的PDCA循環。

現階段,政府也已經有資安服務團的成立,從策略、管理和技術等面向,以實地訪視及顧問的方式,到政府各個A級機關常駐兩個月的時間,協助機關建立相關的資安防護、管理機制、聯防機制,以及緊急通報應變程序與實作。

身為資通安全管理法正式實施後的第一位國家資安長,最重要的任務就是:協助各個部會、機關甚至是關鍵基礎設施提供者等,都能真正從制度、規範,以及相關的專案中,落實資通安全管理法的管理規範與措施,並讓政府資源可以做最有效的運用 攝影/洪政偉

臺灣民主政府是信任基礎,協助政府與產業更密切交流

關於資安產業的自主,臺灣資安產品能否走向全球是關鍵。因為長年民主政治的推動,我國資安產品也獲得許多國家的信任,但要真正做到行銷國際,仍有一段努力的空間。

同時,資安產業是政府健全資安體系很重要的一個環節,資安法通過後,政府在思考的則是,如何帶動資安產業發展、落實資安人才培訓,並建構一個空間,讓公務部門和民間企業之間能有更多的合作與參與,也是政府當前在思考的方向。

未來,面對臺灣資安產業,政府該扮演何種角色?舉例來說,可擔任投資者、提供市場這種類似產業加速器的角色,協助資安產業快速發展,政府甚至可以讓加速器在獲利後,制定一套分潤機制,讓整個加速器有更正向循環,形成活潑的商業模式。這或許也是政府未來在協助臺灣資安產業發展時,另外一種可以思考的角度。

此外,臺灣整體產業這幾年來,積極在物聯網、金融科技及大數據的發展應用,而在這樣的前景之下,資安都是不可或缺的重要環節。以政府而言,目前正在打造去識別化的國家資安資訊分享與分析中心(N-ISAC),希望進一步做到不同產業的資安情資分享以及落實聯防機制外。

同時,目前的行政院技術服務中心,也扮演政府機關資安服務專案辦公室(SPMO)的角色,透過簡化資安服務採購程序,建立資安廠商能力評鑑機制,協助各機關導入適合的資安服務,以強化政府整理資安防護能量,則是SPMO主要努力達成的方向。

不管是社交工程演練、弱點掃描、資安健診等,其實,都是臺灣政府推動資訊安全的工作日常,然而,由於目前公務機關所採用的核心系統,絕大多數是使用國際大廠的產品或元件,接下來,該如何提升臺灣資安自主能力,確保系統防護不會受制於他國提供的技術,仍是政府未來不間斷的努力目標。口述⊙陳其邁、文⊙黃彥棻 本文出自《iThome 2019臺灣資安年鑑》


Advertisement

更多 iThome相關內容