【臺灣資安2020的下一步戰略】透過數據驅動的資安情資，做資安防駭超前部署

全球武漢肺炎確診人數至今已超過一千五百萬人，死亡人數也超過五十萬人，臺灣採用科技作為防疫手段，從邊境控管到居家檢疫與居家隔離的電子圍籬系統等，雖然武漢肺炎疫情從全球大爆發已來、未曾稍緩，臺灣卻因此得以偏安一角，宛如置身與全球民眾平行時空的桃花源。

前行政院副院長陳其邁在協助召開跨部會防疫後勤會議時便曾表示，臺灣的科技防疫最寶貴的地方在於，我們彰顯了民主法治國家也可以做到「民主防疫」，在兼顧個資隱私保護和防疫的過程中，取得一個平衡點，而這也是臺灣科技防疫的成效。

但是，落實科技防疫，少不了資安作為基礎，臺灣在轉型為數位國家、發展數位經濟的過程中，面對數位轉型的壓力，資安更是一切科技應用的最底層。而我國政府面對「第五期資通安全發展方案」即將於2020年到期，如何規畫下一期的資安對策？除了進一步強化第五期方案的落實度，更要透過數據驅動的資安情資，讓臺灣在資安防護實力上，也能做到超前部署。

第五期資通安全發展方案已見成效

早在2001年，政府開始推動第一期的資通安全基礎建設工作，而這就是2001年～2004年的第一期機制計畫，目的在於「建構資安防護體系，完成政府機關分級機制」；下個階段是2005年～2008年第二期機制計畫，主要是「健全資安防護能力，成立國家資安監控中心」。

接著是2009年～2012年第三期發展方案，則在於「強化資安整體應變能力，精進通報應變機制」；隨後是2013年～2016年第四期發展方案，重點在於「加強資安防護，管理二線監控機制與資安情報分享」。

到了最近的2017年～2020年第五期資通安全發展方案，則是以「打造安全可信賴的數位國家」為願景，並以「建構國家資安聯防體系，提升整體資安防護機制，強化資安自主產業發展」作為發展目標；而政府具體推動的方案，則從「完備資安基礎環境」、「建構國家資安聯防體系」、「推升資安產業自主能量」及「孕育優質資安菁英人才」等四個面向著手。

首先，完成資安管理法的立法，以及相關的法規調適，並因應新興科技發展，研擬相關的資安標準規範，是「完備資安基礎環境」這個面向的第一步；接下來，藉由強化通訊網路資安防禦與應變能量、強化物聯網安全並推動安全驗證標章，推動政府資料中心整合，優化政府網路防禦架構，就可以做到強化基礎通訊網路韌性及安全；第三步就是建立政府資安治理模式，包括：建立國家層級資安風險管理機制，以及推動政府機關導入資安治理制度，進行資安成熟度評估。

第二個面向「建構國家資安聯防體系」，則是透過資安鐵三角：國安會、資安處及通傳會，連結八大關鍵基礎設施的主管機關，並打造ISAC（資安資訊分享中心）、CERT（電腦緊急事故處理小組）和SOC（資安維運中心），也做到強化關鍵資訊基礎設施資安防護、建立跨域資安聯防機制，以及精進網路犯罪防制能量。

在「推升資安產業自主能量」面向上，不僅要發展新興資安產業，連結國家防衛自主需求並發展國內資安產業生態系，也要藉由推動國內廠商資安產品納入共同供應契約，以及建立資安產業標準及檢測認驗證機制，做到輔導資安產業升級；更要以國內產業技術自主為導向發展關鍵技術，達到鏈結產學研能量、發展新興資安技術的目標。

最後，在「孕育優質資安菁英人才」面向上，我們可以從投入資源、厚植大專校院資安人才培育量能，或者是拔擢在職人士培育產業所需之資安專業人才，做到增加市場資安人才供給。另外，也要做到提升政府資安人力專業職能，而這部分工作可以從下列項目著手，像是：發展政府資安人員職能及領域職能藍圖並辦理培訓、建立資安訓練單位認證制度、培養公務人員資安基本知能，以及推動政府機關設置資安專職人力。

在既有基礎上，未來將強化資安政策落實度

接下來，政府預計規畫的「第六期資通安全發展方案」，重點就是「落實」。資安法從2019年元旦實施後發現，很多法律規範和實際執行面之間存在著落差。而這也是為什麼要將政府機關的資安責任等級進行區隔，而目前我國政府單位分成A到E五級，舉例來說，E級就是連電腦都沒有、不需承擔資安責任的單位，例如清潔隊。

法遵是政府運作的基礎，臺灣資安法通過後也突顯一些問題，例如，法律規定各級機關有其規範的資安人力，但事實上，各個機關目前並沒有足夠的資安人力，未來如何落實法律規範的資安人力？又該如何確保相關的資安人力品質呢？資安法在專責資安人力的規定上，提供2年法律緩衝，可以透過委外等方式補足專責資安人力的不足，但緩衝期將於2020年底截止，未來，機關如何落實專責資安人力的規定，將成為各級機關的大挑戰。

另外，關注的重點還包括：資安維護計畫如何落實，以及部會該如何稽核所屬機關的資安防護。曾經在2018年～2019年擔任縣市政府的資安稽核員，也會把相關的資安稽核方法整理後提供給各機關，重點是，部會要妥善管理所屬機關；而主管機關要管好關鍵基礎設施，未來讓各機關有機會培養自己合格的稽核員，做到稽核要務實，而不要流於紙上談兵。

第五期資通安全發展方案對於產業發展，包括鼓勵機關採用臺灣研發的資安產品，提升臺灣資安產品品質，由政府提供測試場域（Test Bed），開放一些關鍵基礎設施的工控設備，提供資安新創公司有場域可以測試，有機會成為臺灣資安新創業者的轉機。

資安防護法制化之後，也對於關鍵基礎設施（CI）的辨識、指定，提出明確而具體的定義，也把CI業者的權利義務清楚規範。因為以往資安是指資訊科技和通訊系統的資訊安全，但關鍵基礎設施業者更關注的是工控系統安全，而這個工控系統領域是否有足夠的資安人才，是臺灣未來資安發展的新方向、也是新機會。

資安人才培育要能夠與領域專業做結合

資安人才培育是「雞生蛋、蛋生雞」的問題，市場的確存在、但人才培育來不及趕上，該如何讓市場成長、人才培育能夠銜接得上？

關鍵是讓資安人才結合領域專才，例如，讓醫療領域的人懂資安比較容易？還是讓資安領域的人懂醫療比較簡單？以產業現實環境來看，80％是跨領域的資安人才，只有20％是真正資安領域的專業人才。

資安人才不足是問題，不過，當機關組織可以新增員額時，為何要把這個員額給資安？很多機關缺資安人才，但補上的可能不是資安人才而是業務人才。資安人才供應是否到位？很多學校畢業生，至少要到業界磨練兩年後，才是比較務實好用的資安人才。

第五期資通安全發展方案做資安人才培育，當有足夠的人才，有足夠的市場機會，資安人才需求才會變多。不過，資安人才培育無法一步到位，但至少要六成到位，才能夠慢慢養大資安市場。現在多數人仍將資安視為企業的成本，重點在於，要讓大家意識到資安的重要性，資安其實是企業的投資而不只是成本。

把單一資安事件轉變成從數據驅動的資安情資

第六期資通安全發展方案的重點，除了強化第五期政策方案的落實度，新的規畫則是要把資安事件處理（IR）的單一事件，轉換成資安情資（Security Intelligence），而這項工作更重要。

例如，以某某資安攻擊事件為例，多數人都認為，這只是一個需要被處理的、單一的資安事件，但若可以從資安情資的角度來看，就會變成：因為某某資安事件的發生，所以，我們就能推測ABC產業，有可能會是下一波被駭客鎖定攻擊的對象。

這些資安情資的背後，都是由數據驅動而來，換言之，是把潛在的各種攻擊數據轉變成資安情資，例如，知道這些攻擊來自哪裡？目的為何？有哪些延伸的資訊？

透過這些資安情資，我們可以即時性看出風險趨勢、能夠採取的策略，甚至可以預測下一波的攻擊趨勢。

例如，SWIFT第一個受害的就是孟加拉央行，因為他們揭露了該起資安事件，也讓全球金融業者嚴陣以待、不敢鬆懈。

有些駭客集團會攻擊某些特定產業，例如，勒索病毒都鎖定某些產業攻擊，此時，我們就可以根據這些資安情資，來解讀駭客攻擊的動機和手法。這種以資安情資為主的資安防護，目的就是要做到「大膽假設、小心求證、主動防護」。

這些由數據驅動的資安情資，若從資安預警角度來看，有事先的徵兆，就可以有對應的行動，目的在於降低風險和可能的損失，不僅有機會將資安防護從以往的被動，化為主動，更有機會做到超前部署。

掌握情資，利於資安超前部署

過往資安防護的推動，一直面臨許多挑戰，而在武漢肺炎肆虐全球之後，臺灣全國齊心協力促成的防疫佳績有目共睹，也對未來臺灣資安的發展，產生了很大的啟發與鼓舞作用。

相較之下，防疫和防駭都有相似之處，兩者都是病毒，而且不管再健康的人或企業，都不可能保證一輩子都不會生病或中毒，也沒有任何一種防護方式，可以做到百分之百安全。因此，防疫和防駭的重點，不在於確保永遠不會生病或中毒，而是要知道受損害的範圍，做到災害復原和回復。而既然臺灣能夠利用科技力做到防疫超前部署，那麼，該如何從資安情資的角度，做到資安超前部署呢？

以往的資安比較偏重技術面，實務上，各種設備的Log檔四處散布，不容易看、也難以分析，很難一下子看到全貌，我們必須要有好的網路結構，加上有好的可視性，透過視覺化展示，可以清楚知道異常是什麼，接下來就能做到化被動為主動的資安超前部署。

超前部署永遠是對的！資安情資的收集、處理與判讀，困難重重，不過，如果有足夠的資安情資，防守方就可以超前部署，這時候就需要更多大數據分析及AI人才。

不過，現在很多的資安情資，其實只是「後見之明」、是被動的，未來，如果能善用各種資料數據分析，我們就可以找到隱身幕後的攻擊者。舉例來說，我們透過關聯式分析，能夠找到各種攻擊模式（Pattern），像是以往駭客驅動後門程式回傳資料，較容易發現異常軌跡，但現在這些惡意程式只是偶爾被喚醒，而對外傳送的又是短、小的資訊，很難被發現，而藉由大數據分析，可以幫忙找到模式，就像是從稻草堆中也能找到一根針。

資安防護人人有責，應用服務內建資安就是成功

至於各個產業該如何提升資安？事實上，推動產業的資安並不等於資安產業，臺灣有140家中小企業，扣除掉品牌大廠的供應鏈業者及電子商務業者，小公司該如何做資安？是否有新的商業模式，提供給這些企業呢？

要做到讓國內產業對於資安更重視，我們可以進一步思考幾個問題，像是：辦公大樓的資安團購是否可行？連同辦公室必備的多功能事務機加上掃毒，是否可行？例如，美國就有快遞業者，除了幫民眾將電腦送給品牌公司維修外，也搖身一變，成為提供修電腦服務的公司。而基於這種跳脫傳統框架的商業模式，我們也可以試著找出適合中小企業的資安商業模式，而如果資安產業發展得夠快，未來我們也有機會對外輸出這樣的經驗，打國際賽。

整體而言，資安不是高大上的議題，但也不應該是麻煩的議題，因為資安與便利性之間是可以獲得平衡的。經歷過去幾年的努力，政府也希望可以讓每個人更懂資安、更重視資安，「資安防護人人有責」，畢竟，勒索病毒的受害者不只是企業，個人也會受害。

總統蔡英文在就職演說也提到，資安是六大核心戰略產業之一，過去四年，「資安即國安」，未來四年，則是「資安即國安2.0」。尤其在5G時代來臨，要持續推動資安5+2產業，或是加速各種產業智慧化發展，像是智慧醫療、智慧機械、智慧交通、智慧城市等等，一定要有資安做基礎；當各種數位應用服務都能做到內建資安，這政策就是成功的。口述☉簡宏偉，整理☉黃彥棻，攝影☉洪政偉