文/蘇文彬 | 2022-09-21發表

8月底掛牌營運的數位發展部,數位發展部(簡稱數位部)部長唐鳳今天(9/21)在資安大會主題演說中表示,數位部的目標之一是推動全民數位韌性,除了快速回復外,更要將攻擊當成轉型契機,強化自身體質。此外,唐鳳也對外說明第6期國家資通安全方案,將以打造堅韌安全的智慧國家為目標,包含3項具體目標及4大策略。

數位發展部8月底成立時,擔任首位部長的唐鳳即期許數位部未來扮演臺灣數位發展的「馬達」,推動全民數位韌性的發展。而在資安大會的主題演說中,唐鳳重申全民數位韌性的目的,是透過全民數位韌性打造國家成為民主典範,全民數位韌性指的是任何時候遭受到不利的影響,可以快速回復,能夠完善機制,從攻擊中學習,將攻擊當成轉型的契機,來強化自己的體質,包括三部分,社發、產發、突發,或是稱為社會韌性、產業韌性、應變韌性,社會韌性是確保全民都有意識,並且能守望相助,產業韌性則是協助各產業面對資安、供應鏈、疫情等各種挑戰,能強化自身體質,互相幫忙,應變韌性則是資通安全署,強化資安應變能力,保護政府及關鍵基礎設施。

唐鳳指出,強化數位韌性的重要,不只臺灣,全世界也覺得重要,以WEF世界經濟論壇報告指出,政治、環境、經濟、地緣、科技5種不同風險中,因應COVID-19的科技風險,最大的是資通安全做法如果失守,所造成各種新風險,如惡意技術的利用、技術治理失靈、數位權力過分集中、IT基礎架構失效等等。

綜合歐盟、澳洲、資安業者的觀察,目前資安威脅包含APT進階持續威脅、社交工程、行動式設備、供應鏈或服務供應商遭駭,還有這幾年受到外界關注的勒索軟體風險。除了基本的防護措施,例如持續軟體更新、落實委外管理機制、遵守資安管理措施,這些都是基本的防護做法。唐鳳認為更重要的是,資安意識要落實到每個人身上,每個員工、利害關係人發現疑似資安破口,經過反映後,即時修補處理,強化資安防護。

吸引、培養資安人才,建立公私協同機制

唐鳳進一步指出,去年2月已提出第6期(2021年到2024年)國家資通安全發展方案,其願景就是打造堅韌安全的智慧國家,3項具體的目標,包括成為亞太的資安研訓樞紐、建立主動防禦的基礎網路,公私協力共同創造安全的網路環境。

施行的4項策略,包括吸引全球高階人才,培植自主創新的能量、提升關鍵基礎設施韌性、善用前瞻科技主動抵禦、提升民間防護能量。

在吸引全球高階人才方面,唐鳳表示,不只是數位部,未來也會和國科會、經濟部合作,除了人才養成,高品質的科研也是發展資安措施的基礎。另外,數位部資安署也會和教育部聯手,推動各個場域的資安演練,人才研訓也會從在學、在營,著手培養資安才人。

鑑於每個表面都可能受到資安攻擊,第6期方案重點也包括協助建立每個領域公私協同的機制,確保每個環節的反應速度能夠更快、頻寬更高,延遲更低。

至於現有的資安管理法,推動建立模擬場域作為實證、教學訓練的地方,還有工控領域、資安治理成熟度推動,以及國家層級的資安風險評估。

對於成為資安攻擊目標的重要關鍵基礎設施,各個中央目的事業主關已訂定所屬的關鍵基礎設施提供者,接下來要定期稽核,精進聯防機制,如情資分享、通報應變、資安監控,以及跨領域或跨國的情資交流、攻防演練等。

除了關鍵基礎設施提供者需設立資安長、強化資安人員的專業能力之外,唐鳳也不忘再次強調,也要提升所有人員的資安意識、能力建構,才能落實資安防護。

數位部導入零信任

作為我國數位轉型、數位產業推手,也是國家資通安全規畫的數位部,數位部帶頭只花3天部署零信任系統,通過驗證機制,確保使用載具的安全,沒有入植入惡意程式,可使用載具上的生物辨識,網路也是可行的,才能簽署公文,「這和傳統在內網信任使用者是完全不同的」。

配合第6期國家資通安全方案,目前數位部、2個署級機關人員都使用筆電,筆電均採用Windows、Linux雙重開機,唐鳳透露自己從數位部成立至今,只使用Linux,還未使用Windows。確保Web based系統,不論Android、Windows、iOS、MacOS都有同樣的存取能力及保護。

唐鳳表示,在零信任狀況下,員工可能使用任何的設備,因此需照顧多元異質設備的存取需要,身分鑑別、設備鑑別、信任判斷技術會先從數位部自己做起,和願意實作的其他部會建立最佳實踐的做法,再擴大到相關的中央或地方政府機關。由於數位部為新成立,沒有既有系統的包袱,而大部分的部會有舊系統需要轉換,不太可能一次汰換部署新系統,因此大多為新舊混合運作的情形,數位部推動新的體驗,未來會輔導其他部會,確保在混合式架構下轉換過程是順暢的,並繼續和其他機關進行驗證。

最後一項策略,提升民間防護能力,唐鳳指出,原本就有公私協同合作機制,例如TWCERT/CC資安情資分享服務,未來會鼓勵網路零售業者參與,並透過宣導提升民眾在生活中的資安意識。供應鏈安全管理方面,數位部將輔導各機關委外時,對委外廠商有相同的作業及管理,半導體在晶片製程前後階段的安全管理。至於IoT物聯網安全,隨著更多5G專網申請,提供更多場域,數位部協助業者聚焦5G的資安風險。

目前數位部底下數位產業署、資通安全署,其中數位產業署負責數位產業的推動,包括產業轉型過程中的資安防護,以及資安產業的發展,而資通安全署則是負責國家整體數位發展的資安防護,以及數位政府的整體安全、關鍵基礎設施的防護等。

 更多臺灣資安大會特別報導請見 

iThome Security

熱門新聞

Advertisement