立法院院會通過廢止資安科技中心設置條例,甫於4月1日正式掛牌的資安科技中心,則回復到原本由資策會技服中心委辦資安的作法。

圖片來源: 

iThome

在經過一個月的黨團協商後,立法院在5月3日的院會中,通過由時代力量提案的廢止「國家資通安全科技中心設置條例」,讓4月1日正式掛牌的資安科技中心,回復到原本委由資策會技服中心負責政府資安委外的作法。最早在媒體聯名投書的成大電機系教授李忠憲對此表示感謝,並且認為廢止資安科技中心的作法,是為臺灣成為現代化資訊網路國家的資安之路,做了正確的第一步。但是他也強調,廢止資安科技中心不是不用這些資安技術人員,而是為了讓臺灣的資安組織應該有更高位階,且是一個獨立的資安專責單位,並讓國家的資安資訊透明化,可以受到立法院和民意的監督才是。

不過,另外也有長期觀察臺灣資安運作的人士指出,立院此舉其實只是讓親者痛、仇者快,不僅資安政策無法延續、資安能量無法累積,更重要的是,立院否定過往照規定成立的法人機構作法,也壞了公私部門之間的互信基礎;而對資安中心人員專業的質疑,讓這些對未來工作充滿不確定性的資安專業人員,已經開始另覓生路,恐對臺灣資安造成難以彌補的傷害。

因為馬政府資安官員官僚,才得廢止資安科技中心

民進黨立委管碧玲表示,廢止資安科技中心後,就是恢復原本由資策會委辦的方式,合約已經恢復到今年底,如果未來新的法令規範無法如期完成,政府還可以跟資策會續約,「絕對不會出現資安的空窗期。」她說。

李忠憲表示,透過正式提案廢止資安科技中心的方式,則讓新政府有機會可以釐清,到底臺灣國家級的資安架構應該要如何設立?是否要成立一個專職獨立的資安部門?新政府更有機會可以思考,應該要由哪個單位擔任資安的主管機關等等。而設定為臺灣資安的上位法《資安管理法》,更應該加快立法的步調;新政府也可以仿效近期德國政府在國防部中,成立一個三百人的資安辦公室等作法,提升臺灣的資安實力。

但是,他也特別強調,他原本投書的本意,並不是要把焦點放在人事安排、團進團出或者是時機問題等等,這些其實已經有政治角力的攻防在內。他只是遺憾,舊政府在選舉前,趁亂通過的資安科技中心,並不是一個真正專責的政府資安機構,也無法做到資安技術和資安管理合而為一。

更重要的是,他認為,甫廢止的資安科技中心只是一個行政法人機構,每一年只會到立法院報告兩次,遇到資安事件,也無法即時應變處理並且受到民意的監督,這也是原本技服中心成為行政法人的資安科技中心後,最為人詬病之處。

而廢止之後反而出現的新轉機,李忠憲指出,新政府將有機會效法德國25年前在內政部下設立的資訊安全局,成立一個具有更高位階的資安專責機構像是資安總處的設計,不僅可以做到更高的資安位階,有機會突破既有設立在行政院但權責不清的資安辦、技服中心等的位階,參考美國在把資安設在白宮的作法,都只會讓臺灣資安更進步而非退步。

「未來資安需要同時懂技術和管理的通才,」他認為,透過在政府體系內,成立正式的資安專責機構,政府要正式編列資訊加給和資安加給等預算,給在未來資安專責機構裡面工作的同仁,提供這些人更好的待遇,讓他們承擔起國家資安更大的責任,才是對這些資安人員更有尊嚴的作法。

李忠憲說:「立法院要廢止資安科技中心的作法,其實和技服中心一點關係都沒有,」問題點在於,馬政府缺乏現代化資安管理的觀念,「用法人單位來管理臺灣的資安,並非是一種公務體系重視臺灣資安與資訊專業人員的作法,反而是一種看不起臺灣資安從業人員的作法。」他說。

他更強調,「技服中心是臺灣目前為止,最大最好的資安團隊之一,」目前受到的質疑都是馬政府資安官僚無能造成的,廢止資安科技中心的目的,不是為了消滅資安舞臺,而是為了打造更重要、更高階的資安舞臺,未來技服中心將扮演更重要的角色。

成立資安法人是為了讓公部門執行資安事務更有彈性

有學者認為,新政府未來應該要對資訊處、資安辦、國安辦等在「資安及國安」理念下整體的組織運作體系,要有更上位的思考。首先,時代力量黨團先前在廢止資安科技中心提案的內容指出,資安科技中心的業務範圍有不符合行政法人法的疑慮,並質疑,政府資安業務的上位法《資安管理法》還沒有通過前,則將資安業務組織從二級管理制降為三級管理制,將危害國家安全,應該予以廢止。

不過,也有資安專家表示,馬政府推動的資安三級管理,其實只是把資安管理中三個重要角色,包含政策制定、監督管理和技術支援與幕僚等三部分,分別由三個部會組織負責相關業務,各自獨立也符合資安稽核相關規定,這樣的作法沒有降級的問題;只有最上位的主管機關,層級夠不夠高的問題。

恢復由資策會委辦資安看似無礙,已打擊技服中心人員士氣

雖然廢止案已獲立法院通過,但這個作法也引起資安圈另一波不小的反對廢止的聲浪,不過反對的資安專家大多不願具名。

廢止案最大的衝擊,一位熟悉政府各個資安相關組織運作的資安專家表示,立委對於廢止資安科技中心雖然有其立論,但是對於所謂更高階的資安策略機構、運作戰略目標更明確之前,就貿然廢止資安科技中心,對於團隊士氣以及持續資安工作推動的延續性,都是一大打擊。

僅管有立委認為,資安科技中心廢止後,只是恢復到委辦計畫的運作模式,資安工作不會受到任何影響,但是該名資安專家則表示,立委對於資安科技中心人員專業的質疑,以及公私互信關係蕩然無存,以及人心浮動等,造成的損失不僅難以估計,對於資安科技中心員工的心態和臺灣資安工作的持續性,恐怕已將造成難以彌補的傷害。

資安專家強調,當初要成立法人,就是為了改善原本透過委辦計畫方式執行政府資安的缺點,例如,工作內容受限合約內容且缺乏彈性,難以快速因應緊急事故,也常造成計畫委託執行的空窗期。因為是委辦計畫,接案的執行單位往往必須等到政府通過預算並核發後,單位才有錢聘僱計畫相關人員,之後再依法予以核銷。

以前曾經發生過政府預算因為立法院的種種原因,而無法在年底前通過隔年政府總預算時,除了例行性的政府人員薪資,包括前一年原有編列的科目預算可以事先動用外,新增項目的費用都無法使用,之前有資策會先代為墊付技服中心員工薪資,讓委辦專案可以繼續執行,但「這種非常態的墊付狀況,怎麼能習以為常呢?」一位不願具名的資安專家批評。

科技中心正式廢止後,政府與技服中心團隊的資安委辦合約將持續到年底,但是,資安專家指出,這種短期計畫模式並不利於人才招募與長期培訓,當然也不利於資安技術研發以及資安事件鑑識處理經驗的累積。

不只是人才招募,光是現有團隊就開始出現人才流失的風險,因為隨著資安科技中心的廢止,科技部也沒有理由強留團隊成員,資安專家表示,讓人憂心的則是,若這批人另覓良木而棲時,政府則可能面臨資安能量歸零的困境。據了解,技服中心人員也出現遭大公司挖角的實例,也有跨國公司主管表示,各國對於資安人才需求孔急之際,臺灣如果不要這些技服中心的資安技術團隊,他們考慮花一億元買下整個技服中心團隊,來提供亞洲暨全球的資安服務,都是很划算的生意。

除了打擊士氣和流失人才疑慮外,資安專家的三大擔心

除了團隊士氣與人才流失問題之外,資安專家們也提出了3項擔心。第一,原本期待透過這樣的法人組織,可以作為產官學界的橋樑,進一步推動關鍵基礎設施防護的資訊安全,但在廢止資安科技中心後,因為沒有這樣定位的組織,未來臺灣對於關鍵基礎設施防護的發展可能會更落後其他國家。

第二是,因為沒有辦法成立行政法人資安科技中心實體機構,資安專家指出,在代表性上,也不利於國際合作、共同打擊國際駭客的恐怖攻擊行為,由委辦人員處理資安事故時,也會因為缺乏合理的法律授權,難以深入追查全貌。

第三點,不論是中國駭客或是國際級駭客的攻擊,往往都在你還沒有做好準備時,就已經發動攻擊,但是,資安專家認為,臺灣的資訊基礎運用,不論是金融科技(FinTech)或是物聯網(IoT)等都將衍生更多的新興資安風險,此時,如果沒有政府等級的資安處理能量,根本無法對上述資安風險做統合因應,也將使得臺灣置於各種應用的高度風險中。

這三項質疑都聚焦於,廢止資安科技中心後,就失去了政府層級處理資安事務的官方代表所致。以支持廢止者的立場,並非臺灣不需要這樣的窗口,而是這樣的窗口應該由更高層級或政府內部團隊來負責,而非外部法人。

不過,就立法實務面來說,以立法院目前議事審查的效率,原本的資安科技中心花了一年多,才走完整個立法程序,新政府恐怕也得花上不少時間才能完成新作法的立法。

也因此,在過去一個月政黨協商的過程中,曾傳出考慮透過修法解決,而非廢止的方式,讓資安科技中心運作可以保留更大運作空間。對於資安科技和法律熟悉的專家對此表示不解,「如果修法就可以解決的問題,為什麼一定要廢止該條法案,重新走一趟立法程序呢?」他說。

行政院剩下覆議手段,因應立院廢止資安科技中心案

就立法程序而言,行政院目前可以採用「覆議」的方式來因應,也就是說,當行政院提出的法律案、預算案、條約案遭到立法院否決、退回行政院後,若行政院認為這樣的立院的否決,讓行政院的政務推動有許多窒礙難行之處,行政院獲得總統同意後,就可以在十日內重新向立法院提出覆議案,而立法院必須在十五日內對該議案重新表決,這個重新表決結果,行政院一定要接受。

 

 

 

 


Advertisement

更多 iThome相關內容