數位發展部於2022年8月27日掛牌上路,數位發展部的三級機關數位產業署也於同天下午掛牌運作。數位發展部數位產業署署長呂正華,過去五年半以來,曾擔任經濟部工業局局長,擅長產業諮詢與策略溝通,面對新單位的成立,他表示,該署以「RISE」(旭日東升)做為未來業務推動的重點,在資安即國安的政策方針下,更積極落實「資安產業化、產業資安化」,務必讓資安成為各行各業營運發展的基礎。
另外,面對層出不窮的個資外洩事件,呂正華也說,政府部門積極推動零信任資安架構,並針對具有個資的A級機關,最晚在2024年底前,都必須完成T-Road(政府資料傳輸平臺)的建置,而T-Road 傳輸全程以機關憑證加密,不與外部服務網段相連通,也為資安提供更嚴密的保障。
以RISE作為業務推動方向
呂正華表示,RISE就是四個英文單字的縮寫,R代表韌性(Resilience):產業轉型過程中,數位工具扮演關鍵角色,協助各行各業因應各種挑戰;I代表整合(Integration):指整合各部會資源,使政府在數位產業的資源投入與產出效益極大化,協助產業數位轉型;S代表安全(Security):資安即國安,將資安能力轉為產業發展的動力;E代表賦能(Empowerment):透過數位導入與創新應用,並賦能給各行各業。
他以韌性(Resilience)為例,當貨櫃塞港時,所有的貨物都在同一艘船上,若能掌握數位資訊,就可以有不同的應變方式,例如,我們能夠規畫哪些貨物多久才會送到港口,即便之前延遲兩個月,但可以做其他的緊急應變,不管是從其他地方先調貨,或者是改道行駛等等,就不會像早期因為對於商品和航程掌握資訊過於片段,遇到突發狀況時,往往是束手無策、只能原地等待,甚至有些具有時效性的商品因無法趕到上市時間而造成損失。
呂正華認為,這種可以因應突發事件發生的妥善應對能力,就是韌性,這樣的「韌性」從疫情爆發以來,臺灣可以透過各種數位工具提供更有效率的防疫措施的來,就已經彰顯出其重要性。
「不過,有了韌性還不夠,還必須做到整合,也就是RISE的第二個字母:I」呂正華說。他進一步解釋,企業管理除了常見的五管:產、銷、人、發、財,背後還需要第六管:IT系統,以此貫穿五大作業流程,這就是整合。
而且,不只管理面要整合,呂正華表示,數位產業署在規畫成立時,也做到組織面的整合,像是工業局、中小企業處、商業司和技術處等,與IT資訊相關的單位和計畫,全部整合到數位產業署,做到整合後便能發揮最大綜效;其他像是人才培育課程,從高中、大學、研究所到在職,都有不同培訓課程,若能做到整合,可以發揮最大培訓效果。
各種產業都要做到內建資安
「S就是資安,」呂正華指出,小英總統上任以來揭櫫「資安即國安」的大政方針,也讓各界更為關注資安議題。
他表示,對企業而言,資安的認知與推動都必須有高階主管的大力支持,否則,一旦心存僥倖,生出「我不會這麼倒楣」的心態時,就會想要「賭一把」,沒有遇到資安事件就沒事,一旦發生資安事件時,企業往往損失慘重。
他笑說,這種心存僥倖的心態就像買汽車保險,車主只有在買新車時願意投保保額較高、保障範圍較完整的甲式車險;當車子開始折舊後,就只願意投保基本保額的丙式車險,一旦發生碰撞意外時,丙式車險的理賠經常不足以涵蓋損害範圍。
不過,資安這件事情,還是需要透過整體社會環境的重視和潛移默化與知識擴散,才能夠逐漸提升企業和民眾的資安意識,資安產業在這樣的環境下,也可以有比較好的發展。
近幾年來,不僅有許多從資安社群出身的資安新創公司蓬勃發展,整體資安產業的產值也逐漸增加。像是2017年至2022年以來,累計31家資安新創公司成立,其中13家業者即來自駭客社群,如:奧義智慧、杜浦數位、三甲科技、如梭世代、菱鏡、泰瑞爾……等。
不過,關於發展「資安產業」,呂正華認為其實只做了一半,還必須讓各行各業的企業營運,都做到內建「資安」,企業營運發展才不會有後顧之憂。
他也說,當整個產業因為做好資安而能夠健康發展時,產業才能夠逐步發展擴大,例如,臺灣有許多隱形冠軍的製造業者,他們擁有許多珍貴的專利和智慧財產權,這些都可能會吸引許多有心人士,試圖竊取這些隱形冠軍相關的營運機敏資訊。
畢竟這些隱形冠軍多是賺錢的公司,有些駭客就會透過植入木馬程式對這些隱形冠軍進行勒索、要求贖金。因此,呂正華便說,數位產業署就先找三十家隱形冠軍業者協助進行弱點掃描,協助企業發現內部的資安弱點並進行補強,慢慢提升整體的產業發展。他認為,這就是產業資安化的最佳寫照。
「RISE」(旭日東升)是未來業務推動的重點,在資安即國安的政策方針下,更積極落實「資安產業化、產業資安化」,務必讓資安成為各行各業營運發展的基礎。──數位發展部數位產業署署長 呂正華
推動資安產業化、產業資安化
呂正華說,推動資安產業化或是產業資安化,目前主要政策的執行者仍是數位產業署,而關鍵基礎設施的資安,歸資通安全署負責,至於原本的技術服務中心,則轉到資通安全研究院(簡稱資安院)負責。
他表示,數位產業署也要整合「產業資安」及「資安產業」,攜手打造可信任的供應鏈,並從臺灣最重要的半導體產業著手,聯合學界和業者共同創建「晶片安全聯合檢測實驗室」,讓相關的業者不用再把晶片送往國外實驗室進行安全檢測,而是可以就近在產地臺灣進行相關的檢測,用更低的成本、更快地進入國際市場。
關於推動資安產業化、產業資安化,呂正華認為,最大問題在於:知易行難,許多企業不願意掏錢做資安,加上面對勒索軟體的威脅,以及外在環境日漸惡劣,例如通貨膨脹、企業獲利減少的情況下,企業往往會將預算放在研發上,卻不會將資安放在第一位。
對於政府而言,就是採取鼓勵的措施,他表示,像是從推動將產創條例延長三年,並在相關10-1條增加資安投資抵減的項目就是一例。從2022年開始,企業投入資安產品或服務的投資可以抵稅,可以鼓勵企業加快落實資通安全系統或資料安全的維護,抵減的範圍包括:運用於終端與行動裝置防護、網路安全維護或資料與雲端安全維護有關之硬體、軟體、技術或技術服務等,今年報稅資安投資就有5%或3%的抵減。
他也說,2022年、2023年到2024年因為資安需求變大,所以在審查資安投資抵減時,有業者希望抵減項目應限於國產資安產品或服務,但因為臺灣是WTO(世界貿易組織)的一員,所以,政府不能夠片面保護國產資安業者。
此外,政府也規定,相關的研發計畫中,必須要有7%用於做資安,行政院科技會報辦公室也會要求,針對人員的訓練、代聘,透過研發的方式納入人員的訓練,以金管會為例,就是設立資安長制度和規畫資安訓練。
數位產業署也透過法人發展人工智慧導向資安共創技術,呂正華指出,他們將透過軍民通用資安計畫,推動國防資安國產化,提升臺灣整體資安技術的研發能量,另外,會建構以情資導向的主動式防禦與應變支援解決方案,希望透過人工智慧輔助進行威脅情資塑模分析,分析攻擊者的動機和能力等資訊,藉此幫助有效識別、減輕及防堵攻擊威脅,進而協助企業檢視製造及供應鏈場域的資安層級與內外部資安風險,希望可以做到更快地預防及遏止攻擊威脅,同時降低事件處理之人力投入。
數位賦能用於企業,就是數位轉型
RISE策略的最後一個重點E是賦能(Empowerment),呂正華認為這是最重要的概念,因為每個人都可以做到數位賦能。以前電腦不普及的時候,可以透過電腦的工具,可以讓我們工作更有效率。當日前ChatGPT橫空出世後,可以做到更明顯的賦能,不僅可以節省一些資料整理的時間,可以讓你有更多發揮專業、進行創新的時間。
這樣的數位賦能不只存在於個人,對產業而言,就是要能做到「數位轉型」。
他以紡織業的染色為例,以往就只能依靠老師傅的經驗,但透過數據化規整老師傅的染色經驗後,之後就可以利用AI技術進行驗布,這些老師傅就可以把時間花在更有創新價值的地方。
其他像是醫生看X光片,可以透過AI先做病灶標示,等於是借用有經驗的醫生先對X光片做分類,醫生做後續的人工判斷和確認就可以了,加快醫生判讀X光片的精準度也加快效率。
呂正華認為,數位賦能可以促使產業及個人的競爭力有效提升,做到各行各業的數位轉型;但數位賦能之上要有資安加持,也要做到組織和資源系統的整合,最後也必須有面對突發狀況和風險應對能力的韌性。「所以這就是數位產業署為什麼以RISE(旭日東升)作為數位產業推動的重點。」他說。
不過,在人才培養的部份,因為臺灣走向少子化,若要培養更多數位人才,須納入更多非資訊相關科系的人才投入數位產業,但要真正投入產業運作,還必須有更多實務經驗才行,真正做到更多數位人才供應,產業才有活水源頭。
例如,推動「數位青年T大使計畫」,邀請業師帶領青年進入企業場域實作,並鼓勵非數位相關科系青年跨領域加入,透過為期20週、至少230小時的數位轉型培育課程,藉由不同科系間的腦力激盪,協助青年夥伴成為各行各業的數位轉型種子。
呂正華表示,就跟資安人才一樣,許多白帽駭客畢業後可能選擇半導體業工作,但他的駭客思維,也可以在半導體業負責資安架構,做好供應鏈資安等等。畢竟,未來每個行業的營運發展,都跟資安脫離不了關係。
臺灣知名半導體業者因外包廠商USB裝置,造成勒索軟體Wannacry橫行,損失超過五十多億元產值。對此,推動SEMI E187半導體資安標準,可帶動供應鏈資安,這個標準不只能落實在半導體,其他面板、印刷電路板等更多產業,也都可以做到、推廣。
此外,在2022年10月,數位產業署和SEMI推出SEMI E187資安標準操作實務指引(Reference practice),並透過FAQ形式幫助產業了解各項標準內涵與規範範疇,加快產業標準落實及資安產業成長。
至於2023年的目標就是帶動SEMI E187標準落地,他說,將協助臺灣半導體產業把握制定標準的優勢,並且以零信任架構提升半導體供應鏈的資安韌性,藉由推廣SEMI E187半導體資安標準,加速推動產業合規並持續深化跨域資安產業發展。
他也說,該署也持續新增研擬物聯網資安標準,協助相關認驗證制度維運,提供資安標準技術諮詢,深化產品資安品質能量,並協助臺灣產業可以儘早投入符合歐盟(EU)資安規範的ICT產品開發規畫,建立自主認驗證能量,降低進入歐盟市場時間與成本。
推動零信任和T-Road架構,落實個資保護
面對近期爆發許多企業個資外洩的資安事件,呂正華表示,行政部門依法行政,在目前沒有個資專責機構的同時,一旦爆發個資外洩事件,都有賴目的事業主管機關出面,進行相關的行政檢查;也因為這些個資外洩事件都是與民眾生活息息相關的產業,也帶來比較大的社會關注。
呂正華表示,數位產業署是移撥工業局、中小企業處、商業司和技術處等單位業務,以IT相關產業為主,但現在也必須要管理支付業者,或是綜合性電商業者的個資議題。
若以i-Rent為例,目的事業主管機關是公路總局,所以爆發個資外洩事件也會由公路總局出面處理。而該起事件因為有國外資安專家第一時間聯繫數位發展部部長唐鳳,為了降低民眾個資在網路上裸奔的風險,也第一時間要求所屬行政法人TWNIC,須在第一時間封鎖暴露個資的網址,降低民眾受害機率。
他說,民眾對於新成立的數位發展部有期待,但公務機關本質上還是要做到依法行政,所以,目前除了進行個資法的修法,提高非公務機關外洩個資的罰則最高一千萬元以下的罰鍰,如果未來在期限內改正,也能按次處罰,並積極成立個資專責單位:個資保護委員會,確立個資監督走向獨立機關化,同時,也符合歐盟個資法(GDPR)要求。
呂正華表示,目前政府部門為了落實個資保護,將於2024年底,針對所有擁有全國民眾個資的A級機關導入T-Road政府資料傳輸平臺外,也會打造「永不信任,持續驗證」的零信任網路架構,針對任何人無論何時、何地要存取相關的服務時,都必須針對身分、設備和行為模式等進行三重驗證,即使機關首長也不例外。
這些作法就是為了確保公部門不再發生大規模個資外洩,非公務機關等民間企業如果發生資安或個資外洩事故,也會由數位發展部所屬的行政法人,也就是國家資通安全研究院來協助因應。
另外,針對常見的詐騙事件,呂正華表示,政府除了修法,民間業者也須積極導入個資隱碼技術,降低民眾遭到詐騙的機會。
他說,像台灣大哥大就和電商momo合作隱碼技術,此應用特點在於,貨運業者上面留的聯絡人電話其實是一組代碼,貨運司機或快遞人員要和收件者聯繫時,必須先打電話到交換中心輸入聯絡人的序號,交換中心才轉撥到收件人真正的手機。即使詐騙集團真的拿到收件人的聯絡資訊,也無法掌握收件人的聯絡電話。他笑說,這個隱碼技術的缺點就是成本比較高,但的確可以提高對民眾個資的保護。
數位產業署和業者也合作研發更新的打詐、防詐技術,或電信業者手機內建陌生來電辨識App「Whoscall」。呂正華坦言,對數位產業署而言,不論電商或遊戲業者,要有健全的產業發展環境,必須做到對客戶的個資保護,也會讓民眾安心使用數位科技。
熱門新聞
2023-12-03
2024-04-24
2024-04-25
2024-04-26
2024-04-22
2024-04-22
2024-04-22