總統蔡英文在就職演說中明確表示,資安將成為未來四年的核心戰略產業之一。

圖片來源: 

總統府提供

蔡英文就任中華民國第15任總統的就職演說中,為了產業發展,特別提到要在「5+2產業創新」基礎上,打造六大核心戰略產業,首先便是要強化資訊及數位相關產業發展,利用半導體和資通訊產業優勢,搶占全球供應鏈核心位置;第二則是要發展結合5G、數位轉型以及國家安全的資安產業,打造可以保護自己也能被世界信賴的資安系統及產業鏈。

蔡英文也在就職演說中提到,接下來行政院將進行組織再造,不僅會重新盤整並調整相關部會,提升政府治理能力,更會成立專責的數位發展部會,藉此落實核心戰略產業中的資訊數位產業以及資安產業的發展。

「前事不忘,後事之師」相較於蔡英文在第14任總統就職演說揭櫫的產業政策發展方向,今(2020)年明確的將資訊科技及資安產業列為重點核心戰略產業,也符合前總統府國安會諮詢委員李德財在蔡英文總統第14任任期之初,負責制定國家資安政策方針時,直接高舉「資安即國安」的戰略意義。專門研究全球資安情報的臺灣資安新創TeamT5執行長蔡松廷(網路暱稱TT),也是臺灣駭客協會理事長的他更直言:「過去四年,真的是臺灣資安進展最多的四年。」

制定資安即國安戰略目標,從累積信任中開始的資安合作

的確,美中貿易戰開打後,臺灣在兩強相爭之中,因為獨特的國際戰略位置,扮演相當重要的角色,但就資安推動而言,馬政府8年期間,兩岸關係相對友好,即便不時有國家級網軍試探臺灣的網路安全程度,三不五時偷一些機密文件當做中國網軍的成績單,基本上,臺灣在網路安全的防護上處於極度弱勢的環境。

不過,負責資安的前總統府國安會諮詢委員李德財在四年前就任之初,便因其在美國任教職以及在中研院資通所常年與美國學術界密切的國際合作,加上「資安即國安」的政策一推出,更加速開啟臺美在資訊安全上更密切的往來與合作。

「資安的本質就是信任問題,」李德財曾在一些聊天訪談中提到類似的議題。為了加速臺美互信合作,李德財每年都會到美國參訪,來不及休息的紅眼班機加上密集的參訪行程,不只有學術研究單位,還有一些重要的政治以及民間單位的參觀合作,都是累積臺美互信的重要基礎。

唯有一步步累積足夠的「信任」後,關鍵時刻才能夠發揮效益。以去年11月,臺灣政府與美國國土安全部聯手規劃「臺美大規模網路攻防演練(CODE)」為例,不僅是臺美首度聯手舉辦大規模網路攻防演練,參與該次演練的國家,直接囊括:日本、澳洲、馬來西亞、印尼和捷克等超過10個印太國家,更有助於打造印太資安共同合作圈。

資安即國安的資安戰略報告,打造公私協力的資安鐵三角

萬事起頭難,國際合作要取得信任,必須有人先遞出善意的橄欖枝,臺灣找到對的人跨出第一步,也只是複雜合作關係的一個開始而已,如何在攘外同時做到安內,打造適合的組織架構加上奠定法制基礎是重要的關鍵。

「資安即國安」政策上路的第一件事情就是成立行政院資通安全處,作為統合政府資安相關事務的政策推動和執行單位,首任處長則由簡宏偉擔任。馬政府時期,就有許多政府內專業的資訊主管希望可以成立專責的資訊或資安單位,但因為政府組織和員額的限制,遲遲未能成形。所幸,在蔡英文就任後不久,2016年8月便正式成立臺灣第一個資安專責機構,雖然組織層級較低,但總歸是第一個資安專責機構,未來還有調整的空間。

不過,資安範疇很廣,從政策方向制定到網路通訊等都囊括在內,因此,在2017年政府便把國安會、行政院資安處,以及國家通訊傳播委員會(NCC),打造成臺灣的資安鐵三角,透過彼此合作,讓政府有能力快速因應並處理各種資安事件。

這個資安鐵三角也同時透過公私協力(Public Private Partnership,PPP)的方式,強化資安聯防機制。首先,由行政院資安處要求八大關鍵基礎設施業者,建立資安長制度,同時,也設立ISAC(資訊資安情資分享與分析中心)、SOC,以及CERT(資安緊急應變回應中心),並透過TWCERT/CC連結全球資安聯防體系,落實強化資安通報及緊急應變的能量,確保數位國家的安全。相關的戰略目標也呈現在2018年9月對外公布的《資安戰略報告》中,為「數位國家、創新經濟」奠定堅實的基礎。

修訂資通安全管理法等三法,奠定臺灣資安法制基礎

有資安專責機構後,對於政府而言,「依法行政」是公務人員的施政原則,資通安全管理法在馬政府2015年5月時,就已經推出資通安全管理法草案,由行政院資通安全辦公室召開相關資通安全管理法草案專家座談會。

蔡英文上任後,首度將資安重要性提升到國家安全層級,在資安處成立當月(2016年8月31日),資安處便完成資安管理法草案初稿,後續舉辦6場法案座談會,並上網徵求全民意見。

2017年4月27日則通過行政院版資通安全管理法草案並送立法院審議;在2018年5月11日,資通安全管理法完成立法院三讀,同年6月6日總統正式公布,同年11月21日公告資安法6個子法,並於2019年1月1日正式施行。因為資安法規範的是政府機關、關鍵基礎設施服務提供者,以及政府捐助達一定比例的財團法人,因為民間有部分反彈聲浪,並未納入資安法的管轄範圍。李德財曾說:「資安法通過,不僅是完成國家資安戰略的第一步,也是蔡英文總統就職兩周年的大禮之一。」

為了遏止假新聞的氾濫,蔡政府在2019年6月完成包括「國家安全法」、「刑法」及「國家機密保護法」俗稱「國安三法」的修正條文,像是國家安全法2之2條就正式納入網際空間。

而這國安三法的修正也跟近年來,許多來自境外的假訊息、假新聞在網路、自媒體及社交網路散布,並以各種方式控制媒體、操弄輿論,製造臺灣人民的內部矛盾有關,蔡政府希望透過修法來保障民眾的言論及新聞自由,但同時可以做到避免境外勢力滲透,以及避免造成臺灣民眾的對立。

在資安相關的法制基礎中,還有一項容易為大家所忽略的「國家情報工作法部分條文修正案」,於2019年12月13日立法院三讀通過,修正內容不只加重洩漏情報來源、情報人員身分等資訊的刑責,也對於從事相關間諜行為且洩密的人,從原本七年以上有期徒刑的刑責,加重為十年以上有期徒刑或無期徒刑,且可終生追訴;更關鍵的是,首度將外國或境外敵對勢力刺探臺灣營業秘密的行為,正式納入情報機關的偵查蒐證的範圍中,這也讓許多竊取營業秘密的網路間諜行為,正式納入國家重要的情報工作範圍中。

過去四年政府推動的資安三法,包含:國安法正式納入網際空間;資安管理法納管政府與關鍵基礎設施業者;情工法則讓資通電軍能夠預警對岸網攻,都是李德財親自帶著行政團隊前往立法院溝通,透過相關法律的制定與修正,也讓臺灣未來四年的資安法制工作,奠定更穩定的基礎。

政府強制編列資安經費,優先採購臺廠資安產品

為了讓資安成為政府專案的預設值,政府在推動不管是資安旗艦計畫、前瞻基礎建設計畫的數位建設計畫,甚至是5+2產業創新計畫,政府首度要求,政府所有專案,都應該依據經費規模級距,強制編列資安預算。

也就是說,政府經費規模10億元以上的計畫,其中5%的經費(至少5千萬元以上)必須作為資安之用;1億元~10億元的計畫,其中6%(6百萬元~1千萬元)必須用於資安;其他1億元以下經費的計畫,則規定7%的經費必須用於資安相關項目。

為了鼓勵臺灣研發的資安業者,行政院也會鼓勵臺灣主責機關,實際測試優質的資安產品,並且由地方、中央機關以及關鍵基礎設施服務提供者,每年各推薦一項優質資安產品,目標是:每年可以產出10項優質產品推薦給其他機關或企業使用,希望透過政策、法規,提高政府或機關採購並使用國產資安產品的機會。

政府也看好臺灣資通訊業者的實力,透過結合半導體、晶片以及通訊產業的優勢,做到資安產業與晶片產業的連結,提高政府機關、國營企業以及關鍵基礎設施相關業者,採購資訊資安軟硬體的比例,藉此提高臺灣資安產品自主研發的比率。

不僅如此,過去,政府和水、油、電等關鍵基礎設施的資安狀況就像飛機的黑盒子一般,外部無法了解資安狀況,一旦出事,內部不見得有足夠的量能處理,外部民間資安力量也無從提供相關協助。

李德財透過推動資安場域試煉,要求相關關鍵基礎設施業者可以釋出汰換的工控系統,作為本土資安業者練兵的測試場域(Test Bed),讓民間資安廠商能夠與這些關鍵基礎設施合作聯防,並提升其資安防禦能力。

此外,為了確保資安稽核的有效性,政府也會開始逐步推動第三方驗證(Independent Verification and Validation,IV&V)。在這項工作的初期,會先以金融業為主,針對資安滲透測試,做第三方獨立驗證,確認資安滲透測試的結果是否真正達到目標。

與民間資安社群互動密切,讓白帽駭客成為資安國力關鍵

過去四年,也是政府和臺灣資安社群互動往來最密切的時期。李德財擔任諮委期間,每年訪美參訪時,只要遇到臺灣有戰隊參加全球駭客競賽DEF CON CTF決賽時,他都會親自到場加油,也會帶大包小包的點心給參賽選手吃,甚至在比賽後宴請選手、慰勞他們打比賽的辛苦。

有人質疑李德財只懂理論、不懂實務,也不了解駭客生態,與駭客圈有距離。臺灣駭客協會(HITCON)也在臉書發文,致贈HITCON黑卡以感謝李德財過去四年對資安社群的支持,而有這張黑卡,將可終生參與 HITCON 所有活動。

HITCON在臉書中提到,李德財過去四年積極參與HITCON每場活動,不僅與駭客零距離,也熟悉駭客圈文化與技術。因此,以往政府機關往往受限於公務體系人才動能,形成資安防護落差,但若能善用民間社群的駭客力量,恰可補其不足。譬如,近年各大國際駭客大賽中,民間社群屢獲佳績,除了讓臺灣資安能量於國際露出外,更重要的關鍵點在於,有許多政府網站系統也漸漸透過這些高端人才的協助獲得強化。

HITCON臉書發文指出,隨著駭客攻擊技術日新月異,民間力量需持續灌溉,李德財透過與駭客社群的密切互動,包括促成蔡英文親自出席HITCON致詞;協助HITCON戰隊赴美參加DEF CON CTF找到企業贊助;邀請高階駭客擔任指導老師,執行資安人才培育計畫(AIS3與台灣好厲駭)等,都讓這些資安社群的白帽駭客,成為政府成功推動資安即國安戰略目標的重要關鍵之一。

蔡英文在520就任第15任總統之前,便傳出總統府遭駭事件,從既有的資訊來看,姑且不論總統府的郵件伺服器是否遭到駭客入侵、資料外洩,或者是駭客只是發送釣魚郵件,製造假新聞的輿論攻擊等等,因為沒有百分之百安全的資安,即便是大家認定的資安模範生台積電,也都可能因為人為疏失,爆發Wannycry的勒索軟體攻擊的資安事件等。所以,是否能夠以單一資安事件擴大解釋為整體資安失能,仍有待更多資訊揭露才能確定。

但可以確認的是,資安就像拼圖一樣,在零信任的時代中,從政府到民間若要強化資安,都得慢慢從各個面向、環節補足缺漏之處。蔡政府在過去四年做的累積,許多作為是偏重在各種基礎工程的建設,厚積薄發,若能夠善用過去四年基礎所創造的優勢,將可作為未來四年政府推動資安產業爆發的動力。


Advertisement

更多 iThome相關內容