黃彥棻攝
50人的腦袋聚集在一起,可以產生什麼樣的火花呢?HITCON Pacific今年第一次舉辦資安圓桌高峰會,分成新興科技資安、雲端與物聯網安全、資安人才培育、關鍵基礎設施與資安聯防以及資安百寶箱等五個議題,分別邀請勤業眾信風險諮詢服務副總經理舒世明、行政院資安處處長簡宏偉、臺灣科技大學資管系特聘教授吳宗成、富邦金控資深副總經理李相臣以及臺灣駭客協會理事長徐千洋等五位專家,主持每一個議題的討論。
總結整體討論結果,負責關鍵基礎設施(簡稱CI)與資安聯防討論的李相臣建議,關鍵基礎設施可以趁歲修時落實資安檢查;負責資安人才培育討論的吳宗成表示:「工作,才是學習的開始,」資安人才缺乏在職進修管道,他呼籲政府出面成立提供資安人才在職進修的資安研訓院,並對資安人才分級,提供一個可以循序漸進強化資安技能的技能樹。
CI可排在歲修時間,同步做資安檢查
因為李相臣曾在政府部門工作多年,後來也在金融業服務,看過許多CI業者提供服務的方式,他表示,許多CI業者認為,資安防禦只要做到實體隔離或者是封閉性網路就夠安全。但從李相臣長年經驗和與會來賓經驗交流的情況下,實體隔離往往做得不確實,不管是過去電廠被植入木馬程式,或者是近期發生的ATM或SWIFT系統遭駭,所謂的封閉性網路還是被植入惡意程式。「封閉性網路並不像大家所以為的那麼封閉,當然,也沒有大家以為的那麼安全。」他說。
他彙整關鍵基礎設施和資安聯防圓桌高峰會的建議指出,資安檢查是不可缺少的重要環節,但許多CI業者都會以「服務不能中斷」為由,拒絕各種資安檢查。但李相臣表示,所有的系統都有排定「歲修」的時間,以服務不中斷作為拒絕藉口並不高明,只會讓人更憂心這個單位的資安狀況而已。
所以他建議,重要的關鍵基礎設施業者,包括油、水、電、交通甚至是工業製造工廠,不論是採實體隔離防護措施或封閉式網路,應強制在歲修同步進行資安檢測,既可以不影響平日的正常運作,累積到的經驗又可以應用在其他像是臺灣的製造業者的應用情境等。
資安人才應該分級,呼籲成立資安研訓院
資安人才不足一直是各產業面臨的共通問題,尤其政府又高舉「資安即國安」的政策方針時,加上某些主管機關,例如金管會又要求應該設立獨立的資安部門和專責的資安人員,也慢慢拉抬資安人員在企業內的地位和重要性。
面對各界需才孔急之際,也凸顯出,許多企業根本沒有足夠的資安人才,吳宗成甚至觀察到,現在檯面上的資安人員數量,根本不足以應付許多企業對於第一線維運或是第二線分析的資安人才需求。
目前對在學學生,吳宗成表示,不論是教育部推動的資安菁英人才暑期培訓課程(AIS3)或者是其他的資安訓練課程,都比以往多了許多可用資源。但他認為,對於已經出社會的資安人員而言,學校教的課程內容往往派不上用場,工作必須的技能經常得靠自己多方自修,甚至有一些更新的技術,都可能得自己花錢去上課、飛到國外聽演講等等。
他認為,相較於學生可獲得的資安資源,在職人士其實更缺乏有系統的資安在在職訓練的課程,因此,他也呼籲政府,如果政府認為從事金融業的人才應該要持續進修,而有金融研訓院的成立,那對於資安人才需要更長期且持續培育的專業技能的話,是否可以考慮成立資安研訓院呢?
資安範圍大,從維運、分析到研究,甚至是對整個組織、體制與政策制定等,都可以被涵蓋在內,吳宗成認為,可以將資安領域的人才做分級分類,分成「人手」、「人才」和「人物」三種類型。
他進一步解釋,所謂的「人手」就是具有一定知識水準,可以理解特定事物的人;至於「人才」,則是有能力應用特定事物的人;「人物」就是具有聲望,被他人認為是某種領域的專家。資安人才若從最基礎的資安維運入門的「人手」開始,慢慢提升能力到可以做更多分析研究與應用的「人才」,最終可以發揮對資安業界更大的影響力,成為資安不同面向的「人物」。
不過,吳宗成憂心,現在光是最基礎負責維運的資安人手,根本不足以因應企業對資安人才殷切需求的情況下,如何有系統的培養這些第一線的資安人手,滿足多數企業最基本的資安維運需求,其實是現在企業要面臨的當務之急,這也是政府可以思考在提升資安產業發展的同時最好的切入點,當有更多人才願意投入資安領域時,就更可以帶動資安產業的整體發展。
徐千洋也觀察到,許多第一線資安人員也想精進自己的技能,但相關的課程一堂比一堂昂貴,政府是否可以仿效當年為了培養更多的嵌入式系統人才,針對有心上課的技術人員,推出政府補助一半學費的政策,可以讓更多第一線的資安人才,在還沒有資安研訓院之前,還有持續進行、自我提升的管道。
除了技能培訓外,徐千洋表示,參加各種會議與社群活動,除了掌握更多最新的技術發展趨勢之外,培養更多社群人脈,更重要的是,這些累積都是協助資安人才,有更多解決問題的能力,「不懂可以自己學、找人幫,但平常就得累積和付出,這些資源都不會從天下掉下來的。」他說。
物聯網風險不可輕忽,政府推動物聯網資安驗證中
簡宏偉也提出針對雲端與物聯網安全議題的結論,他指出,萬物聯網時代的每一件事情都跟物聯網、安全和雲端服務有關,政府目前將對物聯網的安全做相關的驗證標準,從分級分類到驗證與管理方式做規畫,是政府目前積極在做的事情。另外,他也補充,不同產業與會者也關注到明年5月正式生效的GDPR(歐洲通用資料保護規則),期待政府可以提供企業法規遵循的資訊和協助。
舒世明也表示,除了各種新的技術應用帶來新興的風險和威脅之外,在企業組織內部的新興風險也和採用敏捷管理有關係,如何落實變更管理是一個降低風險的重要關鍵。若從現在越來越多物聯網裝置為例,他說,很多裝置根本無法做漏洞修補和更新的情況下,這就是必須要正式的新興科技的風險,至於所使用的雲端服務最好可以透過第三方的標準驗證,確保雲端服務相關的安全性。
民間企業籲資安投資減免,專家建議政府從政策下手
至於首度參加這種仿效世界咖啡館討論方式的圓桌論壇,也獲得許多企業參與者的肯定,來自航空業、金融業、電信業與其他服務業的參與者表示,可以近距離和真正的專家討論與交換意見,有很大的收穫。
電信業參與者從負責企業資安管理的面向出發,建議政府應先對產業類別和規模做分級制度,再提出各級對應的資安要求,會更適切臺灣產業現況。而航空業參與者也指出,資安往往是企業很大筆的投資,政府若有資安投資減免,有助於企業持續性投入資安。
也是這次HITCON Pacific大會講師、在美國線上下單證券業者從事資安工作的Howard Tsui(崔豪)也一起參與圓桌高峰會的討論。他表示,臺灣有些企業一直在掙扎是否要投資資安,美國企業之前面臨到類似的情況,只不過,當時的美國政府從法令下手,強迫企業必須公開揭露遭到駭客入侵或者是個資外洩等資安事件的情況,慢慢讓企業對資安更有意識。
Howard Tsui直言,「政府不狠、企業不從」,非常時刻有時需要非常手段,寧可事先逼迫企業面對資安威脅,而不要等到真到遭駭後才後悔莫及。
熱門新聞
2024-12-10
2024-12-08
2024-12-10
2024-12-10
2024-11-29
2024-12-10