臺北市資訊局局長李維斌表示,若要建立資安防護,得讓各設備收集的資訊能一同整合,「各自為政的設備,即使有資安監控中心也沒有用。」

圖片來源: 

iThome

總統蔡英文在臺灣駭客年會HITCON宣布,資安等同國安,政府願意跟駭客社群對話,共擬資安策略。但身為地方政府最高層級資訊單位的主管臺北市資訊局局長李維斌表示:「在強化資安上,政府部門與私部門的合作,不太可能有突破性的大進展」,李維斌認為,反而得辨認出首要解決的問題,分批處理才是上策。

「資安很重要,實踐很次要,忙起來不重要」,現在公部門的資源有限的狀況下,李維斌認為,政府資訊單位相當難應付資安攻擊事件。

資訊局1年雖分配到25億元的IT預算,但相比臺北市年度1,600億元的預算而言,25億元對資訊局只是杯水車薪,「能分配到資安上的預算更是慘不忍睹」,僅有5千多萬元。

李維斌以自身管理臺北市資訊局的經驗出發,歸納出數個他所碰上的資安挑戰。首先,臺北市掌握捷運公司、聯合醫院、翡翠水庫等關鍵基礎建設,每月光是防火牆,就遭受27.1億次攻擊,郵件閘道器也會收到7,350封可疑信件。

第二考驗是預算限制,臺北市政府25億元的IT預算中,分配到資安防備的預算僅有5千多萬元,占其中的2%。除了地方政府外,中央政府也碰到一樣的困難。像是今年8月成立的行政院資通安全處,總共分配到8億元預算,「但是預算以兆為單位的臺灣政府而言,這樣非常少」,約占年度預算中的萬分之四。而美國歐巴馬政府就投入相當6,261億元臺幣加強政府資安,占美國一年預算中的千分之七。李維斌認為,目前預算如此分配,社會大眾資訊素養不足也是一大因素,「資安做得再好,沒發生意外都不會感受到其價值。」

第三是外部威脅不停地變動,李維斌表示,目前資訊局僅調配1.5個人力在此,面臨外部威脅不停變動下,「一季可以進行一次風險評估就相當不容易了。」

第四點是各資安設備間資訊不互通,「資安是團體戰,雖然每個球員都很厲害,但獲勝關鍵在於彼此能否合作」,李維斌解釋,現在各資安設備所收集到的資訊,經廠商統計、解讀後,僅能反映一般狀況,而不是為臺北市量身打造。

再者是考試制度導致挑選人才、留人才皆不易。首先,目前公部門人才揀選制度,不容易媒合人才專長與政府,政府對資訊人員的角色定位,也箝制住資訊單位的能力。李維斌表示,在過去資訊化、電腦化的不發達的時代下,「政府將資訊人員定義為維運人員」,即使通過公家機關考試,例如國文、英文、資通安全等項目,也未必具有資安實力。

另外,公務人員考量後續生涯規畫,往往把中央單位列在較前的志願。而臺北市資訊局中,最高僅到第9職等,「想要升遷,必定往中央單位跑」,即使有心任職於資訊局,也會因升遷困難而離開,導致人才流失。

李維斌表示,目前的政府架構中,僅有臺北市擁有資訊局,其他縣市,僅是研考會下的資訊中心。在位階不高的狀況下,資訊人員僅被政府定位為維運人員,而非握有決策權的單位,使資安對於其他地方政府是難上加難。


Advertisement

更多 iThome相關內容