行政院資安處處長簡宏偉  (攝影/洪政偉)

總統蔡英文在去年520就職演說時,便提到要將資安列為六大核心戰略產業之一,行政院資安處處長簡宏偉表示,六大核心戰略產業的推動是水到渠成,是奠基在小英總統第一任期中所推動的5+2產業創新發展方案,以及第五期資通安全方案的基礎上所做的超前部署,臺灣因為防疫有成,在後疫情時代,率先掌握全球供應鏈先機。

簡宏偉指出,目前臺灣各個產業,都面臨數位化以及數位轉型的壓力,這些產業在轉型的過程中,如果沒有資安作為轉型的基礎,猶如在沙地上蓋高樓,因為沒有穩固的地基而顯得搖搖欲墜,甚至沒多久的時間,這棟大樓就會崩塌。他說:「這也是小英總統希望推動資安產業之際,也能夠讓各個產業都能資安化,達到內建資安的目標。」未來,也會透過「第六期資通安全發展方案」的推動,打造堅韌安全的智慧國家。

六大核心戰略產業都必須要有資安作為根基

檢視過往臺灣遭遇到的各種網路攻擊,簡宏偉表示,先前臺灣遭遇到比較多的網路攻擊屬於DDoS(分散式阻斷式攻擊),但近期發現,DDoS的攻擊頻率大幅下降,勒索軟體的威脅卻急遽增加。

簡宏偉表示,目前看到的網路攻擊是以勒索軟體威脅為主,採用混合式的勒索手法,以往是勒索要錢,現在可能是勒索完後,還威脅公開資料的雙重勒贖,可以發現,現在的勒索軟體有時候只是一種障眼法,目的在於情資蒐集,透過勒索軟體達到經濟目的。而且這樣的攻擊,不只發生在臺灣,很多國家都有發生類似的攻擊手法。

簡宏偉檢視,這也是為什麼除了推動資安產業的發展外,政府除了要發展資安產業外,更積極推動將六大核心戰略產業都加入資安,不管是5+2產業創新發展或者是Digi+,「凡是只要涉及智慧,若沒有資安作為基礎,系統越完善,越容易造成駭客或是惡意攻擊長驅直入。」他說。

現在面臨5G時代,加上寬頻發達、物聯網(IoT)裝置普及等,一個不小心,系統可能就遭到駭客威脅,這也是為什麼六大核心戰略產業,都需要資安作為產業的底蘊。

此外,資安必須是臺灣的核心戰略產業,他指出,如果臺灣做資安卻沒有自己的資安產業,就會變成空中樓閣。以往大家嫌棄資安產業產值規模不高,如果想要產業發展有前途,就必須要有相關的資安技術和管理人才,否則,產業發展蓬勃都只是表面上的、缺乏根基。所以,六大核心戰略產業的發展,是自然而然、水到渠成的原因就在此。

工控系統一旦連網,就有迫切的資安危機

另外,發展關鍵基礎設施(CI)和工控系統(ICS)的資安,也是自然發展的趨勢,畢竟,人力越來越貴、技術越來越進步,加上5G和IoT發展,一旦關鍵基礎設施和工控系統的各種監控設施連網後,以往沒有連網是安全的說法全部不成立,重視CI和ICS的資安就會是產業自然發展趨勢。

接下來,以往關鍵基礎設施或是工控系統的設備商,因為採取的封閉或專屬網路,對於資安並不熟悉,但現在,只需要在設備前端加上一個閘道器就可以連網的情況下,對駭客而言,就是一個新的攻擊沃土,有很大的發展空間。

因此,這幾年不管是美國或是歐洲等國家的工控系統,都陸續遭到駭客的攻擊。從技術面來看,攻擊手法的技術含量不算太高,採用過時的作業系統,有許多舊漏洞可以利用,不管在哪個國家,都可能發生類似的情況。

為了便利管理,就開始有連網、遠端連線控管的需求,為了要省錢,會以自由軟體(Freeware)取代商用軟體;為了更方便管理,員工間會共用帳號密碼且設定非常簡單密碼。雖然知道不該這麼做,但仍會持續發生的原因在於,這些都是人的惰性造成的資安風險。

這也是為什麼工業局、通傳會要求各機關部會重視資安,強迫所有員工和系統一定不能採用預設密碼的原因,且這已經是各國的共通態度。

政府提供資安新創試煉場域

「對我而言,資安已經是類似空氣和水的概念,沒有資安做基礎,大家就不會相信系統的安全性;而沒有好的資安環境,大家也不會敢使用相關服務。」簡宏偉說道,臺灣在資安相關領域雖然已有進步,但程度參差不齊,有些產業走在前面、有許多典範應用,但某些傳統產業,發展資安速度比較慢,重點在於,怎麼提升產業落後的資安意識。

依照國發會資料,近年來,臺灣有越來越多家資安新創公司,產值也逐漸提升,還有很多傳統的系統整合業者或是大公司等,紛紛成立資安子公司服務客戶,成為另外一個主要發展趨勢。

他認為,接下來政府要做的事情就是,提供這些資安新創公司一個測試領域,等到有好的測試成果,就可以推向國際市場,也可以被其他大公司併購。

以前政府會鼓勵產業組成A Team,一起組成國家隊,一起出國搶案子,但簡宏偉經過這幾年的觀察發現,資安新創到國外找客戶很難,臺灣內部就已經自己打成一片了,加上臺灣這邊也沒有辦法投入更多的資源去打知名度,讓更多人認識資安新創時,他認為,可以由政府機關開放場域提供資安新創業者試煉,只要講好規則,不管之後要怎麼打國際賽或者是補足產品線等,都可以由資安新創業者自己去選擇。畢竟,如果業者不想打國際盃,政府壓著業者去打也沒有意義。

攝影/洪政偉

行政院資安處處長簡宏偉表示,政府除了要積極發展資安產業外,更要積極推動將六大核心戰略產業都加入資安,不管是5+2產業創新發展或者是Digi+。凡事只要涉及智慧,若沒有資安作為基礎,系統越完善,越容易造成駭客或是惡意攻擊長驅直入。

臺灣對中國威脅的情報研究,世界第一

美國以往主要威脅是俄羅斯和北韓,自從美中貿易大戰開打後,中國才逐漸成為美國鎖定攻擊的目標。而臺灣長期以來主要的威脅就是中國,因此,多年來,臺灣面對中國威脅的各項研究最為透徹,「畢竟,最了解你的,往往是你的敵人」他說道。

所以,簡宏偉認為,美國和臺灣合作密切的一個重要原因也在於,臺灣是全世界最了解中國威脅的國家,中國擅長何種攻擊手法、研發哪一支惡意程式等等,臺灣相關威脅情資的掌握度也會比其他國家更快、更精準。所以他說,當全世界都需要中國情資時,臺灣對中國威脅情資的相關研究,就會受到矚目。

例如,之前資安公司TeamT5在美國一場威脅情資研討會上,揭露中國資訊戰的攻擊不再是以往單純的小粉紅,開始有組織性的網軍發動資訊戰的攻擊。TeamT5分享針對中國資訊戰的研究引發各界關注,甚至有許多資安專家在推特上,覺得這個研究非常有意義。

中國資訊戰的手法 對臺灣各界卻是相對容易理解的日常生活,但同樣的研究分享到國際上時,卻是其他國家不理解的一面。

他也坦言,臺灣在分享相關情資時遇到一個重大的困難在於,必須要先拿掉許多敏感資訊,但是,當敏感資訊拿掉越多時,資料價值也就越低。從去年他開始在研究一種演算法,透過離散數學的理論,把資料去識別化後,卻仍舊可以保留資料彼此之間的關聯性。

簡宏偉表示,如果可以利用這種加密演算法,無法逆向回推已經去識別化的個資,卻可以保留關連性的資料時,臺灣的巨量資料庫就有機會釋出,不僅可以分享給資安新創業者,這也會是其他國家沒有機會看到的珍貴資料。

推動資安產業軟體服務化

他表示,行政院透過六大核心戰略產業推動平臺,由副院長沈榮津負責督導各產業主政部會盤點,導入核心產業所需要的資安,主動納入資安措施和相關機制;委由國發會、資安處及科技會報辦公室等,協助各部會強化資安防護能量,確保有效保護臺灣資安產業發展。簡宏偉指出,推動資安產業時,發展資安自主產品是一條必須要走的路,從前瞻技術研發到產業發展,經濟部技術處負責前瞻技術研發及技術商品化;工業局負責國內產品供需媒合,以確實推動臺灣資通安全自主產品的發展。

簡宏偉強調,關鍵基礎設施有許多核心系統是採用國際大廠的產品或元件,但這些大廠對漏洞修補的態度不積極,使得產品用戶會面臨到資安產品更新的相關問題。他說,期待臺灣可以透過提升資安自主能力,改善相關議題。

另外,有一個重要關鍵在於,減少使用有資安疑慮的產品,簡宏偉指出,近來,包括美國、歐盟和澳洲政府等,都開始禁用包括華為在內等中國廠牌的產品設備,這也隱含著,世界各國對於中國產品的資安疑慮與重視,而臺灣在特殊的政經環境下,更應該審慎面對,應該如何降低採用中國品牌產品的機會。

簡宏偉認為,但不管是資訊或資安業者,都可以先從提供服務下手,當客戶採用相關的資安服務後,企業有金流,公司營運可以正常化。他建議臺灣的資安業者,可以推動產品自動化相關的服務,不管是把服務產品化,或者是軟體或產品服務化都是可行的方式。

推動第六期資通安全發展方案

「第六期資通安全發展方案」已經於今年二月下旬通過,以打造堅韌安全的智慧國家為願景,搭配「成為亞太資安研訓樞紐」、「建構主動防禦基礎網路」、「公私協力共創網安環境」三大目標,作為臺灣推動資安防護策略與計畫的方針。

「第六期資通安全發展方案」規畫從2021年~2024年資安政策目標與作為,為了培育臺灣資安卓越人才,精進關鍵基礎設施防護作為,利用前瞻科技主動防治威脅並溯源阻斷,再藉由公私協同合作,把資安意識和能量普及到民間企業,打造安全智慧的連網環境。

簡宏偉表示,有規畫四個推動策略,分別是:「吸納全球高階人才、培植自主創研能量」、「推動公私協同治理、提升關鍵設施韌性」、「善用智慧前瞻科技、主動抵禦潛在威脅」及「建構安全智慧聯網、 提升民間防護能量」等四個面向著手。

要達到三個重要績效指標,首先是要建立以需求為導向的資安人才培訓,預計培育350名資安實戰人才,並建立國家級前瞻研究中芯,從技術面及人才面為臺灣未來的資安需求扎根,成為亞洲區代表性高階人才及技術創新基地。

其次,推動政府機關資安治理成熟度含客觀指標達三級以上,明定A級和B級的公務機關,每年應該要辦理一次資安治理成熟度評估作業,從策略面、管理面和技術面設計相對應的檢核項目,並於2024年,要求所有A級機關,都必須要達到資安治理成熟度含客觀指標第三級以上,達到資安防禦做為超前部署、制敵機先和溯源追蹤。

最後,預計四年內,總共要制定12項資安檢測技術指引或產業標準,其中,IoT設備多元,現階段採用逐步制定單一品項的資安檢測標準方式,跟不上產品推陳出新的進度,需要有整體的策略和規畫,透過美國NIST和歐盟ENISA的產品認證架構,作為臺灣IoT資安檢測框架,預計四年累計制定IoT資安檢測技術指引或產業標準達12項,讓IoT設備資安檢測生態鏈永續維持,並提供國人安全可信賴的數位基礎環境。


熱門新聞

Advertisement