行政院院長張善政預計在4月8日和準閣揆林全見面,雙方什麼都能談,但希望資安是雙方會談的重點項目之一。

圖片來源: 

iThome

現任行政院院長張善政預計在4月8日下午三點,和準行政院院長林全在行政院碰面,兩人將廣泛交換意見。張善政表示,關於會談的議題沒有設限,且會針對馬政府既有的政策優劣好壞做深度交接;不過,林全則認為,只有談過去的政績沒有意義,因為有些馬政府的政策並不是未來新政府的施政方針,要談深度交接是沒有必要的。

但是,不論未來兩位閣揆會談的內容到底談些什麼,可以料想到,林全想要跟張善政談論的內容,大致也可以從準總統蔡英文先前推出的政策白皮書著手。其中,我們特別關注的資訊安全議題,在蔡英文的政策白皮書中,則列為「五大創新研發計畫之四:振興國防產業政策」。

蔡英文曾表示,國防不只是國家安全議題,它更是國家一項重要的策略產業;要藉由發展國防,來提升台灣的產業競爭力。因此,也針對國防產業發展的方向,她提出三個政策重心,其中一個便是:以台北、新竹為基地的資安產業。

蔡英文強調,除了會推動「資通電軍」個別軍種的成軍(媒體稱之為第四軍種),也會由國防部投入足夠的預算,提升整體國軍的資安能力,以軍用需求來擴大國內資安市場的規模,支持本土的資安產業投入研發工作。在政策白皮書中也指出,軍用等級的資安技術有了研發成果,可以再轉回民用,就能夠拉大臺灣資安產業在全球市場的技術優勢。

面對新政府將資安列為國防產業的一環,凸顯新政府的確已經意識到「資安等於國安」,也承諾要打造一個足以對抗國家級駭客攻擊的資通電軍,捍衛臺灣數位國土的安全。這對於全球APT(先進持續性威脅)攻擊重災區的臺灣而言,的確是一項正面的消息。

不過,在林全內閣以改善臺灣經濟問題為前提的人事布局下,除了可以想見的科技政委(據傳言,可能是某資安圈業界人士出任)和科技部長(依法為國家資安科技中心的督導機關),以及依照現行行政院的規定,行政院副院長也將兼任資通安全會報召集人等三人,依照其督導的部會以及相關的職權內容,會直接或間接與科技和資安內容有關外,其餘閣員任命依照相關的職權內容,都與各自的部會專業和個人專長有關,資訊科技以及資訊安全的專業能力,很難在上述三人之外看到。

也因此,張善政和林全未來在進行相關的交接會談時,張善政是否可以先將臺灣的資安現況威脅嚴重程度,以及既有的資安防護體系與相關的人力配置與資安投資等等,都先攤開來說,讓未來的林全內閣在上任後,可以更即時的全盤掌握臺灣的資安威脅現況,則是我們對於兩位閣揆會談時的期待之一。

從了解主責資安的組織,作為新政府資安盤點第一步

以既有的政府體制來看,新政府上任後,應該會接觸到六個種類的機關單位,是負責執行和資安相關的工作,而如果能如實盤點這些組織單位的職掌和實力,也就是開始新政府資安盤點的第一步。

第一個單位就是負責資安政策決策行政院資通安全會報;第二個,則是負責資安幕僚單位、隸屬行政院的資通安全辦公室(簡稱資安辦),主要工作包括:責資安政策規畫研擬,及執行資安會報交辦的任務,協調各部會執行並落實相關資安政策。

第三個是負責資安政策監督與執行的科技部;第四個則是之前遭到學者與立委質疑,甚至由時代力量與民進黨團聯手提案廢止,目前進入朝野協商期的國家資通安全科技中心(簡稱資安科技中心),則是目前相關的資安技術幕僚與支援,依照張善政任內規畫的「國家資安二線監控機制」,資安科技中心也從原本第一線協助各政府機關處理資安事件,轉型成進行資安事件分析的第二線監控機構。

除了上述這些行政部門之外,還有第五個負責資安相關的單位,就是在2014年6月開始代管,到2014年8月正式由行政法人中山科學院(簡稱中科院)負責承接並於2015年4月正式維運的資安計畫:TWCERT/CC (臺灣電腦網路危機處理暨協調中心),主要的任務是負責通報政府以外的所有民間與個人遭遇的資安事件,並持續扮演國際通報的角色。而維運這個TWCERT/CC專案的中科院,則在蔡英文的振興國防產業政策中,扮演相當重要國防科技研發的角色。

臺灣雖有8個CERT組織,許多部會也都會成立負責通報的資安危機處理小組(CERT),連先前飽受爭議的資安技術中心,也都維運TWNCERT許多年。雖然可以成立很多CERT,但是國際上,每個國家只有一個CERT會扮演協調中心(CC)角色的單位,這個角色的關鍵之處在於,必須將所獲得的資安情資,協同政府與民間機構,一起合作解決所面臨到的資安問題。

只不過,TWCERT/CC中間曾經荒廢許多年,中科院開始代管時,看得出來,也只是試著做做看,直到行政院給了TWCERT相關的資安預算後,TWCERT的維運才開始越來越穩定,也慢慢做出一點成績。

隨著政府關鍵基礎建設(CIP)以及關鍵基礎資訊建設(CIIP)連網比例越來越高,這其中,有一些關鍵基礎建設是由政府機關控管,但這也有一些則是屬於民間機構,政府必須透過主管機關才有控管這些民間組織的權力,加上有越來越多的駭客,紛紛鎖定這些關鍵基礎建設中的工控系統(SCADA)作為發動攻擊的目標,也使得,維護關鍵基礎建設安全性成為資通安全科技中心和TWCERT的共同目標之一。

最近的案例就是,在2015年耶誕節前夕發生的烏克蘭大停電事件,其實就是駭客攻擊烏克蘭電廠造成的資安事件,甚至,有趨勢科技的資安研究員進一步發現,駭客也接著攻擊烏克蘭鐵路公司。

因此,不論是負責政府資安事件通報與分析的資通安全科技中心,或者是要肩負起民間機構通報協調角色的TWCERT,對於關鍵基礎建設的資訊安全維護,都無法掉以輕心。

另外,第六個則是由國家高速網路中心負責維運的、臺灣第一個協助解決國際資安事件通報的國際資安事件處理小組TWCSIRT(臺灣電腦安全事件應變中心),這個單位的工作就和協助解決企業資安事件解決小組(IR)一樣,除了會彙整國際資安事件通報外,共重要的是,會提供進一步的資安事件緊急應變處理等支援。

不過,其他許多國家在設置這類資安組織時,經常會以國家名稱的CERT同時兼任該國資安情報協調中心CERT/CC,作為主要接收和協調資安通報的單位,其餘產業設置多以解決資安事件的CSIRT為主,但臺灣情況剛好相反,廣設許多負責通報的CERT,卻少有協助事件處理的CSIRT。以中國為例,CNCERT/CC是主要的國際與政府間的資安通報與協調窗口,其下則有各種的CSIRT單位,例如:主要互聯網域名註冊商應急小組和互聯網IDC應急小組等。

新政府在掌握有哪些單位是直接或間接執行資安相關任務的組織後,就可以進一步了解相關業務範圍與資安實力,清楚彼此的能力與強弱後,才能夠進一步做深度整合,成為新政府資安防護的第一道資安防護網。

政府應該主動推出資安管理法,讓民間業者成為國家資安防護網一部分

盤點完負責政府與民間資安政策規畫、執行、通報與應變、處理的相關組織後,對於新國會積極要求要通過的「資通安全管理法」以及「資訊基本法」,新政府也應該列為除了財經政策之外,優先提出的行政院法案之一。

「有資安才有國安」的情況下,國家的資安防線除了政府機關外,民間的配合往往是這道資安防護網是否會崩解的重要關鍵,尤其,臺灣又不像韓國,不僅透過法令規定民間企業應該有的權力義務,政府部門也主動推出更多的資安服務,確保民間企業的網路安全。

最顯著的案例是,韓國政府就以法令規範,要求企業都必須定期做滲透測試,隨著法規遵循而來的,就是韓國蓬勃發展的的資安產業。另外一方面,政府也扮演更主動積極的角色,希望可以協助民間企業因應各種資安威脅,像是,韓國資訊安全部(KISA),其下掌管全球規模最大的KrCERT/CC,不僅早在十多年前便打造一套電話直播118的電話專線服務,只要民眾或中小企業遭受到任何網路攻擊時,電話直播118,就會有24小時值班的工作人員,協助解決資安問題;

其他,像是聯手資安業者,針對韓國200萬個網站,每4小時進行一次網站惡意程式掃描服務(Malicious Code Finder);提供遭到DDoS攻擊的網站,免費的阻擋DDoS攻擊流量含清洗流量服務:DDoS Shelter System;也針對政府和中小企業提供免費的網路防火牆計畫:CASTLE,透過檢查網路要求(Request)與回應(Response)封包的內容,可以即時攔截駭客針對網站系統或利用各種應用程式漏洞所發動的攻擊行為,確保網站安全並保護後端資料庫安全。

臺灣因為沒有法源可以要求民間業者配合政府做相關的資安政策配合,在不具有任何強制性時,民間企業多會基於成本考量而不願意主動配合相關的資安盤點或檢查。假使,可以透過法令的規範,要求民間業者強化資安防護,也同樣可以透過法令規範,讓政府相關的資安事件通報和處理的部門,可以扮演更主動積極的角色時,臺灣的整體資安發展才可能往前邁進一大步。

本週(3/27~4/2)重要資安事件回顧:

MIT研發免密碼保護的新Wi-Fi技術,靠定位確保合法的使用者

美連鎖醫院MedStar疑遭勒索軟體攻擊,病人被迫轉院

CloudFlare:9成以上Tor流量都是惡意的

大規模資料外洩事件減少,資安保險費跟著降低

鎖定中小型零售業者的POS惡意程式現身,專偷信用卡資料

調查:全球7成網民支持關閉匿名的「暗網」

思科:鎖定醫院的勒索軟體出新招,先入侵醫院伺服器

Bitdefender釋出對抗勒索軟體的免費工具

蘋果iOS 9.3更新又出包,網頁連結打不開

開放源碼購物車程式Zen Cart爆逾50個XSS漏洞,用戶快更新

美國政府:第三方協助下已成功破解iPhone

微軟:去年下半年各國政府要求調閱用戶資料案件增11% ,台灣提出434件請求

政府資安第二防線國家資安科技中心掛牌前夕,立委29日將提案廢止引發熱切討論

 

 


Advertisement

更多 iThome相關內容