澳洲智庫針對亞太地區25國進行網路安全成熟度評比,臺灣第一次納入評比對象,在政府組織與資安立法表現,以及網路連網率獲得肯定,獲得排名第九名的成績。

圖片來源: 

澳洲戰略政策研究中心ASPI提供

亞太地區包含臺灣在內的網路成熟度究竟如何呢?澳洲智庫澳洲戰略政策研究中心(The Australian Strategic Policy Institute,ASPI)的國際網路政策中心(International Cyber Policy Centre,ICPC),先前公布一份針對南亞、北亞和東南亞、南太平洋和北美的25個國家所做的「2017年亞太地區網路安全成熟度(Cyber Maturity Metric)分析報告」

這是澳洲智庫從2014年開始,連續第四年所做的報告,而臺灣以及太平洋島國萬那杜(Vanuatu)首度在2017年納入被評選的對象,臺灣並獲得整體網路安全成熟度第九名的成績,在評選的五個指標中,包括:治理面向、網路犯罪面向、軍事應用面向、商業面向以及社交活動上等五個指標、十個問卷題目。

在治理面向的政府組織部分得分最高,加權之後拿到6.4分(原始得分8分),其次為社交網路面向中的個人連網率,加權之後得分6.3分(原始分數9分),表現最差的是國際網路參不力,加權得分為2.1分(原始得分3分),次差為對外提供網路安全服務的CERT(電腦危機處理小組)功能不彰,加權得分為2.4分(原始得分3分)。

國家安全會議諮詢委員李德財表示,在評比的過程中,政府組織和政策得分較高,跟總統蔡英文「資安等於國安」的政見逐步落實,並且積極打造網路第四軍種以捍衛網路空間的安全性,積極推動資通安全管理法等資安專法有正面相關。他認為,在得分較差的部份,也是接下來臺灣可以努力的參考方向。

亞太各國積極成立資安專責機構和推動資安立法

雖然澳洲戰略政策研究中心的國際網路政策中心透過制度「網路安全成熟度指標」,來評估亞太各國的網路安全成熟度,但除了連網比例之外,其他更多還包含網路安全的組織、政策等面向在內。

這份報告也進一步分析亞太地區各國的網路安全成熟度發展趨勢,該份報告從各國政府角度出發,觀察治理是否成長、軍方在網路空間的投入是否增加、國際參與是否積極、商業經濟是否提升,以及是否有能力因應網路犯罪等面向,作為評估各國的網路安全成熟度指標。

就政府治理的部份,可以看到各國政府陸續推出各種新的網路或資安專法,也有許多政府組織的配合調整。李德財表示,積極成立政府資安專責組織和資安立法的的推動和制定,是臺灣近年來在推廣資安的努力成果之一。

舉例而言,臺灣積極推動的資安立法「資通安全管理法」目前已經出委員會等候排入朝野協商中,但其他亞太國家在資安專法的制定上,有些國家頗有進展,像是越南準備進行「網路安全法(Law on Cybersecurity)」草案的立法;日本也已經進行個人資料保護法的修法;中國的「網路安全法」則於2017年6月1日正式實施;澳洲也在今年正式實施「資料外洩強制通報法」((Australia’s mandatory data breach notification law)。

在網路與安全的組織架構上,臺灣在2016年8月1日於行政院成立資通安全處的資安專責單位,泰國則想成立國家網路安全委員會(National Cybersecurity Committee);印尼也成立一個新的網路機構Badan Siber dan Sandi Negara;澳洲在網路安全戰略方面,除了任命第一位網路大使(Cyber Ambassador)外,更強化澳洲網路安全中心(Australian Cyber Security Centre)的功能。

亞太各國積極打造網軍,並強化國際參與深度

根據報告分析,美國在2016年的選舉受到俄羅斯有心人士的干涉,加上2017年造成全球影響性的WannaCry以及NotPetya勒索蠕蟲的攻擊,雖然有許多指控都認為,這類攻擊是來自國家級的網路攻擊,但因為無法有證據證明,都只能存疑。

但存疑的同時,卻不妨礙亞太各國積極建立網軍,李德財表示,臺灣就在去年六月底成立網軍第四軍種資通電軍指揮部,希望積極招募優秀網路人才從軍。除了臺灣之外,澳洲也積極成立資訊作戰部門(Information Warfare Division),就是澳洲國防部的網軍,負責相關的網路攻防戰,人數招募預計達到900人;美國則是將網路司令部(Cyber Comman)作為統一的網路作戰部隊;另外,為了確保日本在2020年舉辦東京奧運的安全性,日本也預計將網路部隊從原本的90人,增加到1千人,成長一百倍以上。

國際參與一直是網路世界很重要的環節,包括美、日、澳等國都相當看重網路安全戰略,為了避免網路戰爭一觸即發,都積極在進行多邊或雙邊的網路合作或是網路互不侵犯的條約簽訂等作為;而打造CERT(電腦危機處理小組)也有助於各國的國際參與。

最具體的例子就是,中國和美國與英國於2015年分別簽訂保護智慧財產權的雙邊協議;中國也於2017年和加拿大及澳洲簽訂雙邊協議等等。另外,太平洋島國像是東加王國,則加入「布達佩斯網路犯罪公約」(Budapest Convention on Cybercrime)強化對抗網路犯罪的能力;而有線電視網路也可以加強太平洋島國對外的網路聯繫;但相關國家組成的PacCERT因為缺乏資金處於停擺狀況,無法有效運作,也削減太平洋島國對抗網路威脅的能力。

網路發展也帶動經濟成長,網路犯罪成隱憂

報告中指出,亞太地區2017年經濟成長率高達5.5%,而網路發展就是帶動高經濟成長率的動力之一,但也同時面臨確保安全可靠網路環境的同時,如何在醫療、教育和網路等基礎設施之間獲得平衡,是必須要克服的挑戰。

不過,採用新興的網路技術也有助於創造新的經濟模式,也有助於提升經濟發展。舉例而言,非洲巴布亞紐幾內亞有85%的民眾沒有銀行存款,但隨著行動網路3G的普及,該國可以採用類似肯亞在手機上使用的M-Pesa行動金融系統,也可以考慮使用App進行行動支付,像是中國微信的作法,都是藉由新興網路科技帶動國家經濟發展的實例。

其他像是美、日、澳等已開發國家已經有發達的網路環境,但對於相關網路安全人才卻仍是很大的缺口,遲遲不能獲得滿足,資安人才的培育一直是網路發達國家面臨的缺口,像是日本面對2020年的東京奧運會和殘障奧運會可能帶來的潛在網路威脅一直很謹慎,也積極培養相關的網路資安人才,但其他國家即便有相關資安人才缺口,如何補齊仍是極大挑戰。

網路犯罪已經是各國難以忽視的犯罪型態,網路安全成熟度高的國家,透過該國警方跨國以及跨境的合作,打擊金融網路犯罪以及身分竊盜等網路犯罪議題;但網路安全成熟度較低的國家,則會藉由打擊網路犯罪的理由,作為審查網路言論的藉口,但其實更應該關注的應該是線上賭博或是線上色情、網路霸凌等議題,對各國網路安全發展帶來的後遺症。

報告中也提到,很多網路犯罪的駭客集團也都會以一些對於網路犯罪罪刑較輕、或是執法能力較弱的國家作為犯罪據點,所以在2017年,美國FBI(聯邦調查局)就和中國聯手,就以柬埔寨和斐濟為據點的中國網路罪犯遣返中國接受審判,澳洲也同時與中國分享相關的網路犯罪後設資料(Metadata),協助打擊網路犯罪。

美國成熟度排名第一,臺灣第九名在政府組織和連網率有優勢

這份報告從治理面向、網路犯罪面向、軍事應用面向、商業面向以及社交活動上等五個指標,設計出十個問卷題目,並以1分到10分表示重要性,1分表示「一點也不重要(Not Important At All)」,10分表示「非常重要(Extremely Important)」,並以不同的權重得出25個亞太地區國家的網路安全成熟度的評分,

在總共25個國家中,排名前一名國家是美國,澳洲與日本並列第二名,新加坡排名第四名,南韓名列第五名,其餘第六名到第十名國家排名分別是:紐西蘭、馬來西亞、中國、臺灣以及印度,臺灣首度納入排名就名列第九名。

美國雖然在2016年的總統大選遭到網路假新聞的干擾,在2017年仍是亞太地區國家網路安全成熟度排名第一名,尤其是政府治理的組織面向上,加權得分高達8.0分(原始得分10分),是所有國家中得分最高的對象;美國在對抗網路犯罪的手法上,獲得加權分數7.8分(原始得分10分),也是所有國家中得分最高;另外得分最高的項目則是軍事應用面向,加權得分6.8分(原始得分10分)。

美國政府在總統川普上臺後,也同樣頒佈一道加強網路安全防禦的行政命令:「加強美國網路安全與能力(Strengthening US Cyber Security and Capabilities)」,並要求對美國針對網路安全進行60天或100天的安全評估;至於美國聯邦預算網路安全支出與2016年預算相去不遠,大約190億美元上下。

美國相對得分較低的項目就是在「資安立法」的項目上,美國在該選項的排名,僅次於有積極進行網路安全戰略的澳洲與修訂個人資料保護法的日本;網路國際參與的部份則次於日本;類似CERT組織的功能發揮,美國則次於日本和澳洲;數位經濟活動對於經濟發展的助益上,美國次於新加坡和紐西蘭;個人網路連網率的部份,美國次於第一名的南韓和日本,第二名的澳洲、紐西蘭、新加坡和臺灣。

臺灣第一次被納入這份亞太地區網路安全成熟度的調查,其中,在政府治理面向中,臺灣有專責的資安組織有很大的加分,例如,在2001年就成立跨部會的資安會報,2016年總統蔡英文上任後,對於網路安全更為重視,直接喊出「資安等於國安」的政策方針,並於2016年8月打造專責的政府組織行政院資安處;2017年6月底成立第四軍種資通電軍指揮部;並積極推動資安立法「資通安全管理法草案」,目前已經通過立法院委員會的討論,等候排入院會朝野協商的議程。這些政府資安組織的成立與運作,是臺灣在網路成熟度評比的優勢。另外,臺灣在網路連網率也獲得極高的得分,僅次於連網率最高的南韓和日本,與澳洲、紐西蘭與新加坡並列第二名,甚至優於網路安全成熟度整體排名第一名的美國。

網路安全已經不是單一國家的事情,已經衍生成區域性甚至是全球性的資安事件,因此,要解決網路安全帶來的各種威脅,往往需要更深度的跨國與跨境合作,前提就必須承諾有更深度的國際參與。從該份網路安全成熟度的調查排名中發現,因為中國的政治干預,臺灣很難獲得各種國際CERT組織的會員資格,也有害臺灣的網路國際參與。所幸,臺美在2016年5月簽署強化兩國網路安全合作的意向書,並於同年舉辦第七屆亞太地區網際網路治理論壇(7th Asia–Pacific Regional Internet Governance Forum in 2016)。但整體而言,臺灣在網路國際參與的深度和頻率都嫌不足,這也是整體得分最低的項目。

得分次低的項目則是:網路安全服務的CERT(電腦危機處理小組)功能不彰,臺灣有技服中心成立的TWNCERT,主要協助政府部門資安事件的緊急應變通報能力,但評分中,看不到代表臺灣的TWCERT/CC的表現,相較於韓國的KrCERT/CC,對於韓國民間提供許多網路服務,臺灣雖然有成立高達8個不同型態的CERT,卻沒有真正發揮應有的成效,成為網路安全成熟度調查中,排名第二差的評分項目。

李德財認為,臺灣逐步落實「資安等於國安」的政策目標,從政府組織與資安立法層面的努力獲得肯定,接下來,對於不足之處,包括打擊網路犯罪、深化軍事與商業應用,以及活絡社交媒體活動等等,都是臺灣政府應該積極努力自我提升的項目。文⊙黃彥棻


Advertisement

更多 iThome相關內容