【資安周報第50期】臺灣應師法以色列資安新創精神，投入2千萬創造2千億的產值

之前，新加坡總理李顯龍以總理的高度，對外公開新加坡國家級的資安戰略，對於臺灣而言，具有振聾發聵的效果。不過，新加坡的資安戰略，背後學習的對象其實就以色列，新加坡政府就找來以色列智慧情報組織8200的退役少將Yitzhak Ben Yisrael來主導新加坡的資安戰略，而Yitzhak Ben Yisrael本身，也曾多次獲得以色列頒贈的國防貢獻勳章。

若進一步研究以色列的資安發展策略，可以清楚看到，以色列政府除了會設定清楚的政策方向外，也會思考每一個發展環節的配套措施，更重要的是，會制定明確且合理的KPI（關鍵績效指標）作為評量政策成效的標準。

例如，以色列在規畫2009年～2014年的以色列5年國防資安產業計畫時，很清楚的KPI就是，在計畫的第一年年底，要發展出6家資安新創公司。「6家資安新創公司」就是一個具體可行的數字，不會像是一些臺灣政府專案委外的執行單位，會制定一些很可笑的KPI虛應了事，像是多少人參加研討會、問卷回收多少、補助款發放多少、多少受補助企業順利結案等指標，因為這些指標只是讓委外單位可以結案，對於整個專案的發展根本沒有實質的效益。

以色列政府先發展國防工業，確保國土安全

以色列的資安政策推動並非一蹴可及，而是經過長久的時間演變、醞釀和發展，才有這樣的成績。

剛開始，以色列在意的其實是國家安全，原因很簡單，因為以色列周遭強敵環伺，尤其是，以阿衝突持續多年，到後來，甚至有許多鄰國，會開始發射10公里～20公里射程的短程飛彈到加薩走廊，每年發射的飛彈大約有2千顆，讓以阿衝突持續擴大，以色列也視為主要的國家威脅。

以色列政府為了保護國家安全，也展開多層次飛彈防禦與防空體系（Multi-Layered Air and Missile Defense）計畫，從2007年開始，以色列的國防工業公司拉斐爾先進防禦體系公司（RAFAEL Advanced Defense System）就開始研發出「鐵穹」防禦系統，可以偵測、追蹤、攔截對以色列帶來威脅的短程飛彈，有效射程達4公里～70公里，攔截成功率到後來高達9成。

既然飛彈無法有效帶來傷害，所以，後來就出現許多自殺炸彈客，以人肉炸彈的模式，對以色列帶來點狀的攻擊。為了降低這種自殺炸彈客帶來的傷害，以色列政府就必須要能夠清楚掌握出入以色列國境的人，到底有沒有哪些是危險份子？哪些人有和恐怖組織的人員聯繫？哪些人其實不會對以色列帶來威脅等等。

也因此，只要有人進入以色列邊境，該國軍方單位除了掃描護照資訊外，也透過各種生物辨識機制，自動偵測並且記錄每一位入境以色列民眾的臉孔，如果有租車、開車或手機或網路相關的通聯資訊，就會把人臉和車牌以及手機號碼與訊號等，做完整的連結。

有這樣的資訊串連之後，以色列政府就可以針對有危險疑慮的入境民眾做追蹤，例如，曾經和恐怖組織有互動甚至進行通聯記錄的民眾，就具有較高的風險，以色列政府就會做事先的追蹤預防，避免發生自殺炸彈的恐怖攻擊事件後，再來善後，往往於事無補。也因為有這樣的資訊串連和持續追蹤，近年來，以色列也已經鮮少發生類似的自殺炸彈攻擊事件。

這樣的偵測追查技術也變成以色列政府的強項，但是，隨著這樣的實體恐怖攻擊事件發生比較變少，反倒是網路上的各種攻擊行為大增的同時，以色列政府也意識到國家政策轉型的迫切性。

也就是說，過往以色列透過反恐方式來強化國防產業，但是，當實體的威脅和敵人變少了，全部都隱身在詭譎多變的網路空間時，以色列政府為了要在網路領域上，也能佔有一席之地，也有計畫的籌畫資訊安全產業與國防產業結合的發展策略，透過完善的政策方向、配套措施和資源投入以及人才育成等，也讓以色列成為資安創新的佼佼者，甚至於，現在有許多知名的資安大廠，例如Check Point或者是Palo Alto Networks等，都是來自以色列的知名資安業者。

制定5年國防資安產業計畫，先慎始才能善終

臺灣本土資安業者艾斯酷博（Xecure Lab）在2013年美國舉辦的資安盛會黑帽大會（BlackHat）中，一場剖析中國APT駭客LStudio完整後臺運作方式的演講，吸引美國那斯達克上市的以色列公司Verint（威瑞特）產品管理兼投資副總裁的注意，也成功讓本土資安業者透過併購，搖身一變成為以色列資安公司在臺灣的子公司。

艾斯酷博共同創辦人也是現任臺灣威瑞特總經理吳明蔚，也透過以色列的通路，將自己的研究成果賣到全世界，並且開始學習以色列人的做生意模式，並且深入了解以色列這個國家怎麼推動資安產業，迄今也將近1千天。在這個過程中，吳明蔚對於以色列政府如何透過政策面協助以色列資安業者發展茁壯，有很深刻的感觸。

包括臺灣在內，對於政策大多會有3年～5年的中長期計畫，以色列從2009年決心發展國家的資訊安全產業發展時，第一步就是規畫2009年～2014年的5年國防資安產業計畫，最讓吳明蔚印象深刻的是，以色列政府在規畫期間就下足了功夫，花半年以上，也砸2千萬元，進行各種大規模的訪談和研究，目的就是要彙整各界的建言，找出以色列未來5年的國防資安產業發展可作為參考依據的長期計畫。

以色列的苦心沒有白費，最關鍵的政策就是，成立隸屬以色列總理的國家資安大戰略指導中心，分別成立偏重發展以色列資安新創產業的國家網路局（Israel National Cyber Bureau，INCB），負責以色列網路大小事務，包括法規、學術機構、商業貿易等，並且負責把以色列透過軍事訓練培養出來好的資安人才，例如8200情報單位的資安專家，以及學術資源和產業資源進行串連整合；另外，也同時成立作為資安監管機構的國家網路監管局（Isreal National Cyber Authority，INCA），就是負責法規制定、推動和執行。

一路看著以色列政府對於國防資安產業的發展策略的制定和推動，吳明蔚認為，以色列在制定國家政策時，不是只是把計畫當成裝飾品，目的就是要讓這個計畫一定要成功，就得讓這樣的產業可以兼顧國家的資安需求，也能帶動一整個資安產業的生態發展，「唯有資安這個產業可以獲利、賺錢，才會有更多優秀人才願意投入這樣的領域。」他說。

吳明蔚指出，成立兩個專責機構是政策推動的根本，結合各種新興技術與資安的整合，並且在城市做實際的技術應用，也成立資安科技園區並且有好的整合，更重要的是，也和以色列最頂尖的6間大學合作，進行產學合作和創新研發。他認為，從這樣國防資安產業政策推動的過程可以看出來，以色列透過政策推動和知識累積創新，讓資安成為以色列最珍貴的寶藏之一。

要檢視政策成效，一定要有適當的評量標準，以色列政府設定第一年的KPI很簡單，就是到年底要發展出6間資安新創公司。

吳明蔚指出，第一年6間資安新創公司看起來很少，臺灣政府執行類似政策時，說不定還是設定一個看起來更漂亮的數字。但他認為，第一年的6間資安新創是找出一個可行的模式，如果方式可行，之後就可以順利複製。關鍵永遠不在，到底第一年要培養多少間資安新創公司才對，而是，如果作為政策的先鋒測試，要怎麼讓這樣的計畫執行是成功且可被複製的。

也因為以色列政府國防資安產業政策制定得宜，加上有完善的配套措施，以及適當的評量指標，即便第一年只要成立6間資安公司就好，但是，到2011年就相繼成立超過165間資安公司，更重要的意義在於，也吸引了230間國際以及以色列的創投公司投資這些資安公司，到目前為止，每一年都有40多間資安公司成立，迄今的資安公司也高達250間。

以色列國防資安產業5年計畫結束在2014年結束，要評估相關的績效，官方統計，以色列資安產業對外匯累積的產值高達2千億元；到2015年以色列資安出口的外匯則超過370億元，和2014年相比，更成長更將近40％。

他認為，以色列政府剛開始，花2千萬元做國家政策規畫，但最後，卻可以有2千億元的產值產出，這樣的投資不僅划算，才是臺灣政府在做相關政策規畫時，應該真正了解的方向。

臺灣仿效以色列制定資安政策，東施效顰又何妨

好的專案政策研究，絕對不是把委外案隨便用個幾百萬元，發包給資策會或軟協、銀行工會等公協會或研究單位得標後，然後再由這些得標單位，去做一些由產業自己填答的問卷需求，或再另外發包給學校研究單位做研究充數。

當然，政府的政策推動也不應該是，由某個得標單位帶著臺灣資安業者出國參展、發名片，回來主辦單位寫洋洋灑灑寫一份參展報告搭配精美照片之後，卻沒有意識到，這樣的參展計畫，其實對參展業者並沒有帶來任何實質的生意收入，但是，政策執行單位還自以為參展成效良好。

更糟糕的是，臺灣的政策執行更多時候多淪為「補助案」，為了雨露均霑，政策執行者怕被說偏袒某個行業，也怕資源分配太少，會讓沒有分到的業者抱怨，在動輒得咎的情況下，這種齊頭式評等的分配補助款方式，就是最安全的政策執行方式。但從過往的經驗也可以發現，只要一個政府政策編列的預算，7成都是經濟部的補助時，幾乎都可以視為補助案，對於產業的真正提升，幾乎很難有具體成效。

如果新加坡政府聘請以色列資安專家有效，可以讓新加坡有一個真正國家層級的網路安全戰略出爐，臺灣東施效顰又有何不可！臺灣政府也可以同樣聘任真正對以色列資安政策了解的專家，細細的釐清產業的發展和真實的產業現況，找出國家真正的資安需求和產業可以發揮的技術專長，相信，臺灣也有機會，在未來5年，同樣創造出可以成立多家資安公司，並且有好的產值的資安產業生態圈。

關於以色列的資安政策推動和資安產業觀察，預計在11月底出刊的「iThome資安專刊秋冬合刊號」中，也將有更完整的報導。

以色列為了推動國防資安產業5年計畫，關鍵之一就是成立了以色列國家網路局（Israel National Cyber Bureau，INCB），負責以色列網路大小事務，並把以色列透過軍事訓練培養出來好的資安人才，例如8200情報單位的資安專家，以及學術資源和產業資源進行串連整合。