韓國資安人才教父柳晙相(Yoo Joon-Sang)表示,召募頂級資安人才的BoB計畫,除了要召募資安技術高手,也必須兼具道德和愛國的特質,才能在國家危難時,出手相助。
iThome
韓國資安人才教父柳晙相(Yoo Joon-Sang),不僅是韓國特別公法人韓國資訊科技研究中心(KITRI)第九任總裁,同時也是韓國頂尖資安人才培育計畫BoB(Best of the Best)的幕後關鍵推手,日前來臺時,則和臺灣科技大學簽訂資安人才交流合作備忘錄。柳晙相在接受iThome獨家專訪時表示,「BoB專案召募的人才,不僅要具備高超的技術、也必須要有職業道德,更需要是對國家忠誠的人,在國家發生危難時,才願意挺身而出。」柳晙相這樣的說法是非常有道理的,許多韓國的資安研究員及白帽駭客,甚至是資安業者等,不僅團結也很愛國。
由韓國政府主導,和民間共同面對重大資安事件,臺灣呢?
像是在2013年3月20日爆發黑暗首爾(Dark Seoul)資安攻擊事件時,韓國國家網路安全局(KISA)下轄,負責韓國網路安全的韓國電腦網路暨危機處理協調中心(KrCERT/CC),也在第一時間主動號召所有資安公司和資安專家,一起商討解決之道。
「在國家面臨資安威脅時,不分政府和民間,砲口全部一致對外,設法找出解決問題的方法。」這就是韓國資安圈現況,也是為什麼韓國在320事件時,能在最短的時間內,陸續恢復銀行、媒體等相關公司的主要系統,一個月內全數恢復正常運作。
反觀近十多年來,臺灣資安領域的發展,一直是民間凌駕政府之上,即便民間缺乏豐沛資源,但是透過許多資安社群和人才的交流及努力,也慢慢有一些成果出現。許多白帽駭客和資安專家,即便平常對國內資安體係嚴厲批評,最終目的,都是希望臺灣的資安防護可以越來越健全,甚至近年來,民間資安交流範圍更屢屢擴展到其他國家。
至於臺灣的公務部門,近兩、三年,因政府部門最上層的主事者開始重視資安,慢慢的看到政府願意將資源多投入一點在資安領域,雖然,整體成效還需要更長時間的累積,很難快速見效,但是,從社交工程演練的社交郵件開啟率逐年降低,中低層級公務人員也開始頗具資安意識,看得出公部門努力的成果,不過還有很大的進步空間。
臺灣倒是在政府和民間的資安合作上,一直都沒有找出較好的合作模式,行政院前院長張善政在副院長任內首度釋出善意,「相信成功不一定要在政府自己,」開始不再每件事情或政策推動,都由政府透過活動或研討會來彰顯其重視程度,政府終於可以單純的成為一個活動的宣傳者、支持者、贊助者、錦上添花者、雪中送炭者,卻不一定要是活動主辦者。
臺灣資安社群曾經在幾次重大的資安事件中評估過,如果臺灣面臨相同災害,例如黑暗首爾的攻擊事件變成黑暗臺灣攻擊事件時,臺灣有辦法承受嗎?又得花多久時間才能復原呢?印像中,當時的評估都很悲觀,一旦政府的系統癱瘓,一個月內很難復原不說,許多銀行因為BCM(營運持續管理)不夠落實,光是在隔天要恢復ATM提款就讓人存疑,更遑論一周內要銀行系統全數恢復正常。
評估過程中更凸顯一個問題,當臺灣重大資安事件時,專家們都難以確定,到底政府哪個單位才是這起資安事件的主要負責人?又有哪個單位可以真正做到,跨政府部門及民間單位的溝通協調呢?
不過,這樣的隱憂,在新政府上任後,決定成立新的正式組織──行政院資安處,成為政府部門的資安專門機構,用來取代原本只是任務編組的行政院資通安全辦公室,而有了更好的解答。
新任資安處長要有2020年資安政策願景,也要能和國安辦協同合作
根據最新的消息來源,行政院也正積極詢問資安處處長的適當人選,他的工作內容,除了持續督導委外給資策會的技術服務中心之外,也將聽命於科技政委,負責跨部會協調的資安事宜,還必須要能夠和總統府國安會下的國家安全辦公室,彼此有合作和支援的空間。近日內,人選應該會隨著新組織成立時一併對外公佈。
資安的推廣和重視,原本就是苦差事,尤其對政府機關的人員,要把資安這件事情做好,除了必須要懂資安、懂政府組織運作外,也要有強烈的使命感和熱情,更重要的是,擔任第一個政府專責資安機構的主事者,我們也想知道他或她對於未來政策願景的規畫和想法是什麼,在接任者的藍圖中,有沒有2020年的資安政策願景?若要達成這樣的資安願景,現在的臺灣,還要把哪些環節漏洞,慢慢的接起來呢?
再者,資安防禦永遠無法靠單打獨鬥就可以成功,因此,未來資安處的接任者,除了聽命行事之外,也必須具備和各政府部門、民間企業及社群能協同合作的能力,而且,未來,與國防、外交有關的網路攻擊和資安事件將由國家安全辦公室接手,資安處長和國安辦必須有暢通的溝通管道,才不會因資訊不透通,造成兩辦之間互動不順暢,真的遇到緊急事件時,反而無法發揮兩辦協同作業的綜效,就可惜了。
資安處的處長人選應該很快就會對外公布外,另一方面,國安辦的負責人選要如何選擇,也是一門大學問。
行政體系的資安處,負責政府和民間的資安事件,選才可從公部門中尋找年輕一輩、對資安有熱情的人。但是國安體系,因涉及國防、外交,甚至數位國土安全等更為機敏的事務,也會接觸到更敏感的跨國網路威脅合作事宜,加上總統蔡英文提及的第四軍種的相關規畫,都可能由國安辦承接或參與規畫時,要找到夠資格接任這樣具有挑戰性職位的人選,除了必須獲得層峰信任外,還必須要有技術能量,兼顧政策願景,同時能和資安處彼此協同作業,更要避免軍系人馬的反彈,人選挑選的難度真的比資安處長更高。
不過,當行政院資安處長確定後,國安會國安辦執行長應該也會在最短時間內公布。屆時,不論是從政府、民間層級看資安,或者是從外交、國防領域看資安,都期待會有更前瞻的規畫與新氣象。
推動資安管理法是當務之急
資安處長人選敲定之後,必須開始面對一件非常重要的事,那就是要先健全臺灣既有的資安法規,已經延宕許久的資安管理法,也應該在最短時間內,送交立法院審查。
制定資安管理法是國際趨勢,不管是美國、日本、德國等都已制定了網路安全相關的專門法規,例如,美國在2014年制定網路安全強化法、國家網路安全保護法、網路安全勞動力評估法、聯邦資訊安全現代法,日本也在2014年制定網路安全基本法,德國則在2015年制定資訊科技安全法,各國作法殊途同歸,目的在於,透過法令訂定,讓公務機關、非公務機關以及關鍵基礎設施業者,在共同建構國家完整的資安體系時,有一個共通的參考依據,也藉此維護國家的網路空間主權和國家安全。
目前,臺灣對於公務機關的資安以各類行政命令來管理,對於非公務機關則有電腦犯罪防治專章作為規範,但這些層級較低的法規,不足以和快速演進的網際網路技術接軌;因此未來希望透過資安管理法專法的制定,對於牽涉資安的不同主體,都有相對應的責任和義務的規範。
例如,公務機關以及非公務機關該負的資安責任和義務可以明訂,或是,過去從未受規範的關鍵基礎設施業者,因動輒影響大量民眾的權益,也應透過這次法律制定納入規範,可以在法律層次,從風險的角度出發,明定大家應該承擔的權利和義務,都有助於未來整體數位國土的安全保障;資安防護如何落實也於法有據。甚至可以像韓國法律規定,企業應定期做滲透測試,而政府也要提供相對應的資安服務,同時也促進資安產業的發展,這樣的三贏狀態,則是未來希望推動資安管理法時,可以達到的立法效益。
上週(6/12~6/18)重要資安事件回顧:
※ 藐視法庭繼續濫發垃圾訊息,Sanford Wallace將坐牢30個月
※ Let's Encrypt不小心外洩逾7000筆客戶的電郵地址
熱門新聞
2024-04-17
2024-04-15
2024-04-17
2024-04-15
2024-04-15
2024-04-15
2024-04-15