圖片來源: 

HITCON

去年7月發生的一銀ATM遭駭盜領8千萬元事件,震驚全臺。儘管警方趁監視器廣布之便,7天就破案逮人,但也掀起了銀行圈對資安的新一波重視。而民眾一來驚訝於駭客集團化犯案的縝密操作,另一方面也感受到科技時代,就連過去封閉的ATM都難再孤立,得靠常見軟體更新方式,透過內網的系統來派送更新程式,才讓歹徒有了可趁之機。

不過,破案至今,檢調依舊無法得知駭客如何入侵,甚至查無任何入侵的蛛絲馬跡,更讓人感到驚訝。ATM案赤裸裸地將駭客的威脅帶到民眾的日常生活中。

資安即國安政策三大目標

趁此社會氛圍,新政府以捍衛國家數位國土、防護數位經濟為號召,設立了行政院資安處,更讓各界高度期待。資安處人馬就位後,第一個推出的就是《資安管理法》草案。這是臺灣第一部資安管理法立法,將針對政府機關和部份民間企業提出明確的資安規範。

去年8月,國家安全會議更和行政院一起召開第一次的「資安即國安」策略會議,主要是透過整合資安人力、資安產業和科研資源,以提升資安基礎整備、產業能量和數位防衛能力,最終希望可以達成:打造國家級的資安機制;建立國家級資安團隊,確保數位國土安全;以及推動國防資安自主研發,強化產業發展等三大目標。

因為網路安全和數位國家的趨勢,過去一年,不少國家紛紛提出新的資安戰略。美國早在去年2月時就宣布了一項國家資安行動計畫,經費高達190 億美元(約臺幣6千億元),而英國則在去年10月時宣布,未來5年要投資19億英鎊(臺幣751億元)推動英國國家網路安全戰略。與臺灣鄰近的新加坡,不只在2015年成立了網路安全局,去年年10月時更由新加坡總理李顯龍出面宣布了國家級網路安全戰略,並且編列了預算1.9億新幣(臺幣40億元)的推動經費。

所以,去年12月時,在臺灣駭客年會HITCON上,總統蔡英文也首度宣示了她的資安宣言:「資安就是國安」,將臺灣資訊安全政策高度,拉高到了與國家安全並重,也為臺灣下一步的資安政策訂定了新的方向。

在這群臺灣駭客圈和本土資安專家的年度大會中,蔡英文揭露了未來臺灣資安政策的幾個重要方向,第一個是「資安就是國安」是新政府施政中的重要環節,也是民進黨執政後積極推動的政策方向。第二是,蔡英文開始將「資安也是一個產業」,將資安產業發展視為數位產業等重的另一個臺灣發展方向。

蔡英文透露,早在去年5月執政以後,新政府在執掌國家安全政策的國安會中,設立了專門負責國家資安管理方針的諮詢委員,由中研院院士李德財擔任。「這代表相較於過去,臺灣資安政策的層級已經大幅地提高。」她說。

因為蔡英文已經體認到,「資安防護已經成為臺灣發展自我經濟,甚至是推動整體經濟轉型必要的基礎。」

即將送到立法院審查的資安專法,是臺灣資安轉型的下一個里程碑。資安法是臺灣第一部資安專法,最大特色是建立了一套官民共用的資安規範,並且首次將民間關鍵基礎設施的提供者納管。以現行臺灣關鍵基礎設施的界定來看,水、電、交通以外,金融、銀行、醫院都納入資安法的規範範疇。尤其在資安法中,設計了資安通報集中化的法規機制,要來建立一套互通資安情報的聯防體系。一銀ATM事件更促使金管會加快腳步打頭陣,由資安處提撥5千萬元,預定在今年第二季設立一座金融資安中心F-ISAC,將整合銀行、證券期貨與保險體系,提供資安預警和聯防。

預備千人資安人力支援,資安法3月送立法院拼三讀

不過,行政院各部會資訊人力原本就緊俏,資安人力更是稀少。去年底,行政院邀集各部會盤點推動資安法和相關政策所需人力,今年2月則發現資安人力短多一千多人。因為中央政府機關總員額法的限制,公務人員編制總人數不變,無法輕易擴編人力,因此,行政院初步計畫透過內部調整、約聘人力或改將部分資安業務短期委外,來補齊這個人力缺口。簡宏偉表示,三月中再次盤點資安人力,更新人力調整進度後,就會將資安法草案送立法院審查。

行政院更在第五期資通安全方案草案中,納入了因應物聯網、開放資料經濟及數位經濟發展所需的資安發展項目,也在今年1月召開部會工作小組會議檢討未來資安需求,預計3月時提報行政院國家資通安全會報後進行。

另外,行政院更提出了8大資安旗艦計畫,預算為8億元,其他資安預算則包括先前規畫的「106年加速政府資安防護計畫」編列2億元,技術服務中心預算編列4.26億元,以及其他散見各部會,由部會編列的資安相關預算約為9億元,目前政府在2017年所有編列與資安相關預算,大約為25.7億元。和2016年資安相關預算約12億元相比,2017年編列的資安相關預算則增加一倍以上,也反映出政府大力投入資安領域的企圖。

行政院資安處處長簡宏偉指出,8大資安旗艦計畫的目的是補足臺灣關鍵基礎設施中的資安作為。尤其要求與關鍵基礎設施有關的主管機關,都必須自建產業相關的ISAC(資安資訊分享與分析中心)、SOC(資安監控中心)和CERT(電腦緊急應變中心)等三個資安關鍵基礎平臺。簡宏偉說:「沒有資料就無法分析,就不會知道臺灣面臨哪些資安威脅。」

民間資安情報也要集中化

除了國家資安情報要集中,行政院也要將民間資安情報統整起來。根據行政院資安處的規畫,未來所有民間機構的資安事件通報都將由TWCERT/CC(臺灣電腦網路危機處理暨協調中心)負責相關資安事件通報事宜。「唯有資訊整合後,才能夠發揮情資的價值。」TWCERT/CC主任廖志明說。

廖志明表示,TWCERT/CC也會協助政府進行相關資安通報應變準則的規畫,並且提供相關的教育訓練服務,更長遠的目標是,協助民間企打造出自家的緊急應變處理中心(CSIRT)或者是建置一個資安事件應變能力的的資安事件處理團隊(IR Team),讓企業擁有更健全的資安體質。

不只政府資安動起來,最近民間也特別感受到,資安與生活和產業緊密相關的氛圍。今年初春節過後,發生了臺灣第一起券商集體遭國際駭客勒索事件,13家券商網站下單平臺遭遇DDoS攻擊,部分券商下單平臺還因此短暫停止服務,收到勒索信件者則更多。券商事件剛平息,校園也傳出大規模比特幣勒贖信,全臺北中南多達46所學校,從大學教授實驗室,到小國行政人員辦公室,都收到了同一封勒索信件,這兩起事件,都證實了,國際駭客集團開始鎖定臺灣,更彰顯出臺灣資安必須動起來的必要性。

臺灣有了國家級資安專責單位,國家級的資安戰略藍圖逐漸明朗,今年度資安相關投資經費也創歷史新高,待資安專法三讀之後,才能讓已經邁出一大步的臺灣資安轉型,真正成形。

 相關報導 臺灣資安動起來


Advertisement

更多 iThome相關內容