行政院資通安全處處長 簡宏偉 (攝影/洪政偉)

全球武漢肺炎確診人數至今已超過一千五百萬人,死亡人數也超過五十萬人,臺灣採用科技作為防疫手段,從邊境控管到居家檢疫與居家隔離的電子圍籬系統等,雖然武漢肺炎疫情從全球大爆發已來、未曾稍緩,臺灣卻因此得以偏安一角,宛如置身與全球民眾平行時空的桃花源。

前行政院副院長陳其邁在協助召開跨部會防疫後勤會議時便曾表示,臺灣的科技防疫最寶貴的地方在於,我們彰顯了民主法治國家也可以做到「民主防疫」,在兼顧個資隱私保護和防疫的過程中,取得一個平衡點,而這也是臺灣科技防疫的成效。

但是,落實科技防疫,少不了資安作為基礎,臺灣在轉型為數位國家、發展數位經濟的過程中,面對數位轉型的壓力,資安更是一切科技應用的最底層。而我國政府面對「第五期資通安全發展方案」即將於2020年到期,如何規畫下一期的資安對策?除了進一步強化第五期方案的落實度,更要透過數據驅動的資安情資,讓臺灣在資安防護實力上,也能做到超前部署。

第五期資通安全發展方案已見成效

早在2001年,政府開始推動第一期的資通安全基礎建設工作,而這就是2001年~2004年的第一期機制計畫,目的在於「建構資安防護體系,完成政府機關分級機制」;下個階段是2005年~2008年第二期機制計畫,主要是「健全資安防護能力,成立國家資安監控中心」。

接著是2009年~2012年第三期發展方案,則在於「強化資安整體應變能力,精進通報應變機制」;隨後是2013年~2016年第四期發展方案,重點在於「加強資安防護,管理二線監控機制與資安情報分享」。

到了最近的2017年~2020年第五期資通安全發展方案,則是以「打造安全可信賴的數位國家」為願景,並以「建構國家資安聯防體系,提升整體資安防護機制,強化資安自主產業發展」作為發展目標;而政府具體推動的方案,則從「完備資安基礎環境」、「建構國家資安聯防體系」、「推升資安產業自主能量」及「孕育優質資安菁英人才」等四個面向著手。

首先,完成資安管理法的立法,以及相關的法規調適,並因應新興科技發展,研擬相關的資安標準規範,是「完備資安基礎環境」這個面向的第一步;接下來,藉由強化通訊網路資安防禦與應變能量、強化物聯網安全並推動安全驗證標章,推動政府資料中心整合,優化政府網路防禦架構,就可以做到強化基礎通訊網路韌性及安全;第三步就是建立政府資安治理模式,包括:建立國家層級資安風險管理機制,以及推動政府機關導入資安治理制度,進行資安成熟度評估。

第二個面向「建構國家資安聯防體系」,則是透過資安鐵三角:國安會、資安處及通傳會,連結八大關鍵基礎設施的主管機關,並打造ISAC(資安資訊分享中心)、CERT(電腦緊急事故處理小組)和SOC(資安維運中心),也做到強化關鍵資訊基礎設施資安防護、建立跨域資安聯防機制,以及精進網路犯罪防制能量。

在「推升資安產業自主能量」面向上,不僅要發展新興資安產業,連結國家防衛自主需求並發展國內資安產業生態系,也要藉由推動國內廠商資安產品納入共同供應契約,以及建立資安產業標準及檢測認驗證機制,做到輔導資安產業升級;更要以國內產業技術自主為導向發展關鍵技術,達到鏈結產學研能量、發展新興資安技術的目標。

最後,在「孕育優質資安菁英人才」面向上,我們可以從投入資源、厚植大專校院資安人才培育量能,或者是拔擢在職人士培育產業所需之資安專業人才,做到增加市場資安人才供給。另外,也要做到提升政府資安人力專業職能,而這部分工作可以從下列項目著手,像是:發展政府資安人員職能及領域職能藍圖並辦理培訓、建立資安訓練單位認證制度、培養公務人員資安基本知能,以及推動政府機關設置資安專職人力。

在既有基礎上,未來將強化資安政策落實度

接下來,政府預計規畫的「第六期資通安全發展方案」,重點就是「落實」。資安法從2019年元旦實施後發現,很多法律規範和實際執行面之間存在著落差。而這也是為什麼要將政府機關的資安責任等級進行區隔,而目前我國政府單位分成A到E五級,舉例來說,E級就是連電腦都沒有、不需承擔資安責任的單位,例如清潔隊。

法遵是政府運作的基礎,臺灣資安法通過後也突顯一些問題,例如,法律規定各級機關有其規範的資安人力,但事實上,各個機關目前並沒有足夠的資安人力,未來如何落實法律規範的資安人力?又該如何確保相關的資安人力品質呢?資安法在專責資安人力的規定上,提供2年法律緩衝,可以透過委外等方式補足專責資安人力的不足,但緩衝期將於2020年底截止,未來,機關如何落實專責資安人力的規定,將成為各級機關的大挑戰。

另外,關注的重點還包括:資安維護計畫如何落實,以及部會該如何稽核所屬機關的資安防護。曾經在2018年~2019年擔任縣市政府的資安稽核員,也會把相關的資安稽核方法整理後提供給各機關,重點是,部會要妥善管理所屬機關;而主管機關要管好關鍵基礎設施,未來讓各機關有機會培養自己合格的稽核員,做到稽核要務實,而不要流於紙上談兵。

第五期資通安全發展方案對於產業發展,包括鼓勵機關採用臺灣研發的資安產品,提升臺灣資安產品品質,由政府提供測試場域(Test Bed),開放一些關鍵基礎設施的工控設備,提供資安新創公司有場域可以測試,有機會成為臺灣資安新創業者的轉機。

資安防護法制化之後,也對於關鍵基礎設施(CI)的辨識、指定,提出明確而具體的定義,也把CI業者的權利義務清楚規範。因為以往資安是指資訊科技和通訊系統的資訊安全,但關鍵基礎設施業者更關注的是工控系統安全,而這個工控系統領域是否有足夠的資安人才,是臺灣未來資安發展的新方向、也是新機會。

資安人才培育要能夠與領域專業做結合

資安人才培育是「雞生蛋、蛋生雞」的問題,市場的確存在、但人才培育來不及趕上,該如何讓市場成長、人才培育能夠銜接得上?

關鍵是讓資安人才結合領域專才,例如,讓醫療領域的人懂資安比較容易?還是讓資安領域的人懂醫療比較簡單?以產業現實環境來看,80%是跨領域的資安人才,只有20%是真正資安領域的專業人才。

資安人才不足是問題,不過,當機關組織可以新增員額時,為何要把這個員額給資安?很多機關缺資安人才,但補上的可能不是資安人才而是業務人才。資安人才供應是否到位?很多學校畢業生,至少要到業界磨練兩年後,才是比較務實好用的資安人才。

第五期資通安全發展方案做資安人才培育,當有足夠的人才,有足夠的市場機會,資安人才需求才會變多。不過,資安人才培育無法一步到位,但至少要六成到位,才能夠慢慢養大資安市場。現在多數人仍將資安視為企業的成本,重點在於,要讓大家意識到資安的重要性,資安其實是企業的投資而不只是成本。

把單一資安事件轉變成從數據驅動的資安情資

第六期資通安全發展方案的重點,除了強化第五期政策方案的落實度,新的規畫則是要把資安事件處理(IR)的單一事件,轉換成資安情資(Security Intelligence),而這項工作更重要。

例如,以某某資安攻擊事件為例,多數人都認為,這只是一個需要被處理的、單一的資安事件,但若可以從資安情資的角度來看,就會變成:因為某某資安事件的發生,所以,我們就能推測ABC產業,有可能會是下一波被駭客鎖定攻擊的對象。

這些資安情資的背後,都是由數據驅動而來,換言之,是把潛在的各種攻擊數據轉變成資安情資,例如,知道這些攻擊來自哪裡?目的為何?有哪些延伸的資訊?

透過這些資安情資,我們可以即時性看出風險趨勢、能夠採取的策略,甚至可以預測下一波的攻擊趨勢。

例如,SWIFT第一個受害的就是孟加拉央行,因為他們揭露了該起資安事件,也讓全球金融業者嚴陣以待、不敢鬆懈。

有些駭客集團會攻擊某些特定產業,例如,勒索病毒都鎖定某些產業攻擊,此時,我們就可以根據這些資安情資,來解讀駭客攻擊的動機和手法。這種以資安情資為主的資安防護,目的就是要做到「大膽假設、小心求證、主動防護」。

這些由數據驅動的資安情資,若從資安預警角度來看,有事先的徵兆,就可以有對應的行動,目的在於降低風險和可能的損失,不僅有機會將資安防護從以往的被動,化為主動,更有機會做到超前部署。

掌握情資,利於資安超前部署

過往資安防護的推動,一直面臨許多挑戰,而在武漢肺炎肆虐全球之後,臺灣全國齊心協力促成的防疫佳績有目共睹,也對未來臺灣資安的發展,產生了很大的啟發與鼓舞作用。

相較之下,防疫和防駭都有相似之處,兩者都是病毒,而且不管再健康的人或企業,都不可能保證一輩子都不會生病或中毒,也沒有任何一種防護方式,可以做到百分之百安全。因此,防疫和防駭的重點,不在於確保永遠不會生病或中毒,而是要知道受損害的範圍,做到災害復原和回復。而既然臺灣能夠利用科技力做到防疫超前部署,那麼,該如何從資安情資的角度,做到資安超前部署呢?

以往的資安比較偏重技術面,實務上,各種設備的Log檔四處散布,不容易看、也難以分析,很難一下子看到全貌,我們必須要有好的網路結構,加上有好的可視性,透過視覺化展示,可以清楚知道異常是什麼,接下來就能做到化被動為主動的資安超前部署。

超前部署永遠是對的!資安情資的收集、處理與判讀,困難重重,不過,如果有足夠的資安情資,防守方就可以超前部署,這時候就需要更多大數據分析及AI人才。

不過,現在很多的資安情資,其實只是「後見之明」、是被動的,未來,如果能善用各種資料數據分析,我們就可以找到隱身幕後的攻擊者。舉例來說,我們透過關聯式分析,能夠找到各種攻擊模式(Pattern),像是以往駭客驅動後門程式回傳資料,較容易發現異常軌跡,但現在這些惡意程式只是偶爾被喚醒,而對外傳送的又是短、小的資訊,很難被發現,而藉由大數據分析,可以幫忙找到模式,就像是從稻草堆中也能找到一根針。

資安防護人人有責,應用服務內建資安就是成功

至於各個產業該如何提升資安?事實上,推動產業的資安並不等於資安產業,臺灣有140家中小企業,扣除掉品牌大廠的供應鏈業者及電子商務業者,小公司該如何做資安?是否有新的商業模式,提供給這些企業呢?

要做到讓國內產業對於資安更重視,我們可以進一步思考幾個問題,像是:辦公大樓的資安團購是否可行?連同辦公室必備的多功能事務機加上掃毒,是否可行?例如,美國就有快遞業者,除了幫民眾將電腦送給品牌公司維修外,也搖身一變,成為提供修電腦服務的公司。而基於這種跳脫傳統框架的商業模式,我們也可以試著找出適合中小企業的資安商業模式,而如果資安產業發展得夠快,未來我們也有機會對外輸出這樣的經驗,打國際賽。

整體而言,資安不是高大上的議題,但也不應該是麻煩的議題,因為資安與便利性之間是可以獲得平衡的。經歷過去幾年的努力,政府也希望可以讓每個人更懂資安、更重視資安,「資安防護人人有責」,畢竟,勒索病毒的受害者不只是企業,個人也會受害。

總統蔡英文在就職演說也提到,資安是六大核心戰略產業之一,過去四年,「資安即國安」,未來四年,則是「資安即國安2.0」。尤其在5G時代來臨,要持續推動資安5+2產業,或是加速各種產業智慧化發展,像是智慧醫療、智慧機械、智慧交通、智慧城市等等,一定要有資安做基礎;當各種數位應用服務都能做到內建資安,這政策就是成功的。口述☉簡宏偉,整理☉黃彥棻,攝影☉洪政偉


熱門新聞

Advertisement