臺灣未來基金會董事長陳浩維,在今年臺灣資安大會上發表演講。他指出,臺灣尚未養成良好的資安文化,仍有三大挑戰需克服。

圖片來源: 

圖/iThome

臺灣未來基金會(NEX Foundation)董事長陳浩維,在今年臺灣資安大會上發表演講。他直接點明臺灣資安發展過程中面臨了三大斷層,來自於消費者端缺乏資安意識、企業端缺乏對資安的當責性(Accountability)、資安人才職涯發展也面臨挑戰,但在這些問題背後,更隱藏著一大關鍵因素,正是在臺灣社會中,尚未養成良好的資安文化。因此,他也從四個層面提出觀察,來提供資安文化的養成方法。

臺灣資安發展面臨三大挑戰

陳浩維指出,臺灣資安發展面臨了三大挑戰。第一,民眾與消費者缺乏對資安的意識與素養,他用幾個數據來看臺灣民眾與其他國家的資安意識差距。

消基會在2017年資安意識調查發現,40%民眾選擇網路商店消費時,不將資安防護納入考量,33%民眾上網時不在意網址列是否加密或為可疑網站。

但在美國,2018年IBM資安與隱私研究報告發現,79%美國民眾不會購買資安能力不可信的網路品牌商品,上網路購物前,也會先了解網站是否有能力保護他的個資。甚至,去年的Fiserv金融數據公司調查指出,5成民眾會在企業發生個資外洩事件後,立即尋找替代品牌。

「美國的消費者、網路使用者,越來越重視資安。」陳浩維說,相較之下,臺灣民眾網路購物的資安意識較為缺乏。

第二項挑戰,他認為,台灣的企業沒有負起應有的資安責任。他舉例,只有少數臺灣企業積極處理資安外洩對用戶帶來的影響,主動通知用戶重設密碼,同時對用戶清楚說明事件始末。

他更以2018年的一場訴訟為例,消基會提出了個資法通過後的首宗個資外洩事件的團體訴訟,控告某旅行社外洩36萬筆個資,造成25人受到詐騙,但法院最終仍判消基會敗訴,認為企業也是受害者,不需負擔賠償責任。

相較於臺灣免賠償,但在國外,陳浩維列出近年各國資料外洩事件的賠償金額,比如臉書曾賠償50億美元,Uber與英國航空也分別賠償了超過1億美元與1億英鎊,日本資料外洩事件則賠償每人大約為500~10,000日圓不等的金額,而2019年Citrix公告公司內部被國際駭客集團入侵,旗下共有2.4萬名員工對公司提起集體訴訟,Citrix最後也以228萬美元,支付相關費用與賠償。

陳浩維點出,臺灣企業對於資安事件的當責性不足,且政府在裁罰判決的腳步也較為落後。

上述兩個原因,更導致第三大挑戰,他強調,臺灣資安人才在進入企業的職涯發展就會受限。陳浩維解釋,雖然臺灣資安人才具有世界級的技術能量,但業界不一定有同等資安思維來聘僱資安人員,學校與政府辛苦培育的資安人才,卻可能在接軌業界時遭遇挑戰。

他點出,臺灣資安人才職涯有4大落差,一是供需落差,像是企業不清楚資安業務需求和需要哪一種人才。其次是職涯發展問題,資安人員無法清楚知道自己未來的職涯發展,更實際第三個問題是薪資競爭力,IC設計工程師、軟體工程師的薪資水平高於資安工程師,難得的資安人才就可能因為薪水的誘因而轉職。最後一項人才投資落差,他認為,企業不能把資安人才培育都推給政府,「因為資安真正戰場是企業環境,這才是資安人才實際鍛鍊技能的所在,企業也有一定程度的責任,來協助培育資安人才。」這些問題導致了資安人才與業界接軌的斷層。

陳浩維更認為,而造成這三大問題的隱藏關鍵因子,可能在於臺灣尚未在社會中養成資安文化。

建立資安文化第一步:檢視相關法規是否健全

體認到臺灣資安文化不足成為資安發展挑戰,陳浩維也從四個面向來提出,他認為,促成臺灣資安文化轉變的方法。

陳浩維分四個面向來探討促成臺灣資安文化轉變的方法,分別是法規與需求(Regulation and Requirements)、企業資安責任與期許(Accountability and Expectations)、人才與資源(Talents and Resources)、資安文化(Cybersecurity Culture)。

第一個層次是檢視法規面,他從實務經驗來討論,個資法對資安事件因應方式的規範問題。陳浩維認為,個資法還有幾項待完善之處。比如個資法第27條就寫到,非公務機關保有個人資料檔案者,應採取適當之安全措施。但法規中沒有未指明適當安全措施的定義,「如何可以稱為適當?又該如何評斷是否達成?」他點出許多企業的疑問。

且第45條指出,違反27條者將處新臺幣兩萬元以上、二十萬元以下罰鍰,陳浩維質疑,這個罰鍰金額遠低於聘僱一個資安人力的成本,他開玩笑的說:「那是不是可以把罰鍰列入公司年度預算,反正每年只要繳罰鍰,就不用聘僱資安人才?」

第28條則規範,企業對個人進行損害賠償時,每人每一事件以新臺幣500元~2萬元來計,但陳浩維指出,目前不同法院對舉證責任,仍存在分歧意見,且大多民眾不了解如何在技術上進行舉證,還需要請其他專業人士或律師協助,這就導致,每人至多兩萬的賠償金額,可能還比不上舉證請人所需的費用,「偏低的賠償導致,民眾對資安事件求償缺乏誘因。」

而且,臺灣當前的司法人員也不一定具有專業的資安知識,比如先前消基會提告某旅行社的案子裡,合議庭判決文書就寫道:「本案是第三人惡意入侵,且駭客攻擊時有耳聞,當今科技也無法完全避免。」因而裁決消基會敗訴。或像是有律師認為,企業網路漏洞的資安外洩事件這類情境較不用追究,真正不可原諒的是個資的故意洩露,陳浩維認為,這些都顯示出,法學專家也可能對資安有錯誤理解。

儘管法規面仍有許多不足,但陳浩維也肯定,臺灣證交所不久前修訂重大訊息處理程序發布,要求未來上市公司發生重大資安事件時,需發布重大訊息對外揭露,「這是非常重要的里程碑。」

建立資安文化第二步:加強企業資安責任意識

第二個層面,則要加強企業對於資安事件發生的當責性,「企業要了解,今天資安攻擊事件發生,不只是資安團隊的責任,也不只是領導階層的責任,更是企業內每一個人的責任。」陳浩維說。

陳浩維指出,資料外洩的衝擊,包括攻擊者可以將不同網站的資料進行媒合,取得更詳細的個人資料,還能將靜態資料轉換成動態的監控來蒐集情報,向特定對象進行更進階的攻擊,甚至是冒充身份、竊取身份,造成不只是財務上的損失,因此,企業應該理解資安攻擊的嚴重性,進而轉變對於資安防護的態度。

他建議,企業面對資安攻擊事件應持以正向的態度,雖然沒辦法百分之百防止資安事件發生,更重要的是從事件中學習,進而檢討如何更全面地進行防禦,而非一味責怪資安人員。

陳浩維過去經驗指出,企業發生顧客資料外洩事件,可以有4個流程來因應,一是驗證外洩資料,啟動事件響應機制;二是調查破口,找出攻擊入口點進行證物的蒐集與分析,同時導入防禦機制讓攻擊失效;三是進行漏洞修復,並謹慎進行安全驗證;四是要主動通報顧客資料外洩事件,應重設帳號密碼,並通知司法單位進行調查。

「消費者可以理解,資安事件會一直發生,所以更重要的是你的處理方式跟作為。」陳浩維說。

甚至更進一步,他指出,投入資安防護來保護顧客資料,可以為企業的品牌加值、累積客戶信任。陳浩維表示,以美國來看,民眾對於品牌的信任,很容易因為資安事件而消失,「一次資安事件就可能造成30%顧客流失,50%以上的流量損失,這也是為何美國品牌願意投入資安防護的原因。」所以他建議,臺灣企業也應該體認到這一點,將顧客資料置於資安防護的第一位,來贏得顧客的信任。

尤其,美國企業發生資安攻擊事件,若無法立即阻斷攻擊,為了避免用戶資料外洩,大多美國企業會直接將網路服務關閉,而非先權衡服務停擺可能帶來的損失,「因為企業重視資安、更重視顧客資料安全。」

建立資安文化第三步:重視資安人才與挹注資源

第三個層面,則是企業應重視資安人才並投入足夠的資安資源。陳浩維引述一份美國資安媒體Help Net Securuty 2018年的調查指出,美國擁有兩萬六千名員工的大型企業,平均配置17.5位資安專職人員,擁有兩千五百名員工的企業,平均配置13.3個資安人員,這些資安人員中,約5~7成從事防禦相關工作,且越大型的公司,越願意把資源投注在威脅情資蒐集、鑑識、威脅獵捕的領域。

根據報告的調查結果,可以了解到,不同規模企業對於資安人才的需求類型與數量都不同,願意投入的資源也不同。針對企業如何建構資安環境,陳浩維提出了四大原則性建議。第一,是要制定政策,確實建立、維護並執行內部資安政策;第二,是要嵌入文化,取得高階管理者的支持,並透過資安教育與宣傳,來喚起全體員工對資安的了解與重視;第三,則是要訂定目標,進行產品安全與風險評估,設定短、中、長期的資安團隊執行目標;第四,則是要投入資源,在人力及預算的許可範圍內,部署人員來實踐資安防禦策略。

「企業很難百分之百的防堵資安攻擊事件,但能增加駭客的攻擊成本,」陳浩維要提醒企業,若能獲得充足的資安能量來進行資安防護,就能增加攻擊者要駭入自家系統或網站的難度,藉此來減少暴露在資安威脅下的風險,以及發生資安事件造成的損失。

在資安人才的聘僱方面,陳浩維也描繪了美國資安人才的搶手狀況,除了具備資安技能的人才,幾乎零失業之外,由於人才市場供不應求,資安人才的薪資更是超越了軟體工程師,他引述了美國薪資資訊平臺levels.fyi的資料指出,若在科技巨頭工作,剛畢業的新鮮人(Entry Level)年薪約有15萬美金,兩三年工作經歷(Mid Level)約能領到30萬,資深工程師(Senior)大約為50萬,主管(Principal)可以高達70萬。

因此,他也鼓勵,資安技術不分國界,臺灣人才的戰場不應侷限在國內,更應放眼全世界。

建立資安文化第四步:建立良好資安文化

第四個層面,則是要建立起資安文化。陳浩維引述了資安專家Bruce Schneier表示:「資安是一段過程,不是一個產品。」因為隨著工程師開發新系統或功能,不可避免地會持續產生漏洞,就需要長期努力來投入資安防禦。

要形塑正確的資安觀念與文化,陳浩維提出了6個要點。其一,是要建立起每個人都要為資安負責的觀念;其二,要聚焦培養資安意識,更要採取行動,比如進行資安事件回報;其三,要建立起資安發展的生命週期;其四,要獎勵並認可在資安防護上做對事情的人;其五,建立起資安社群;最後,讓資安變得有趣,來提昇參與意願。

陳浩維指出,當臺灣有健全的資安法規,民眾、企業、政府也對資安產生正確的認知,形成良好的資安意識後,才能創造誘因,驅使企業來投注資源,進一步促進資安產業與人才的發展,最後建立起良好的資安文化。

最後,他更表露對臺灣資安人才的期許,除了要推動資安文化的建立,更要透過臺灣未來基金會,協助臺灣人才往海外發展,同時還要將海外的經驗挹注回臺灣資安產業,「在海外流浪,是為了找回家的路,還要把回家的路變得更好,」未來,他希望集結眾人之力,組成臺灣隊進軍世界舞臺,讓臺灣資安人才能在世界上發揮更大的影響力。

熱門新聞

Advertisement