數位發展部下設行政法人資通安全研究院(簡稱資安院)於今年2月10日正式掛牌上路,這也是全臺灣第一個資安專責行政法人。
接下首任院長位子的何全德,他行政資歷豐富,有近四十年的公務員經驗,任職研考會三十多年,督導行政院技服中心超過10年,也是許多包括公鑰基礎建設(PKI)、電子簽章法等推動先驅;再加上國家關鍵資訊基礎建設(CIIP)已經是國家資通安全重點防護工作,他擔任國發會管制處處長期間,更是負責包括國營事業,例如臺灣銀行、臺電、中油和臺水等國營事業在內的績效考核工作,是臺灣推行e政府和數位政府重要的政策執行者。
在徵選資通安全研究院院長時,因為何全德長期從事政府資訊及資安工作,加上推動資通安全工作逾25年,參與國家各項重大資通安全政策及法規研擬推動,兼具資安與行政兩種專長,在唐鳳親自邀請下,他允諾擔任首任院長。
面對外界好奇資安研究院的定位為何?何全德直言,資安院是國家級的研究機構,資安的技術幕僚,主要就是協助政府機關研究相關政策法規分析,作為政府決策參考,並積極推動關鍵基礎設施防護、強化資安人才培訓和推動產業資安等,都是資安院的法定職掌。
資安院主要任務是資安技術服務、技術研究發展、資安專業諮詢、資安行政協處、資安人才培力,在定位上,與數位部、資安署的關係密切,呈現三位一體的關聯,共同守護臺灣資安。圖片來源/國家資通安全研究院
專注四年內可落地資安技術的研發、移轉、推廣和應用
資安院是臺灣第一個資安研究機構,也是數位發展部下設的行政法人,他指出,資安院授權依據來自行政法,特色在於:不是政府機關,具有資安專業性,因為行政法人只能受命、行使低度的公權力,他們的定位是資安研究單位。
其實,資安院和數位部、資通安全署,是資安政策制定、推動與執行三位一體,只是有不同的角色定位差異,仍需要彼此分工合作。
何全德表示,數位發展部主要是制定國家整體數位發展政策,包含資安政策在內,責任目標在於策略推動;資通安全署則包含政策制定與執行,資安政策擬定、推動為其主要的工作職掌。
若從這樣的任務職掌來看,何全德提出很清楚的定義。
首先,資安院作為國家級的研究機構,就是資通安全的技術幕僚,也兼具智庫的功能,要協助研究相關的政策法規,作為政府相關決策的參考;對於資通安全科技的研發,資安院則身負技術移轉、推廣和應用落地的重要角色。
其次,資安院不僅協助政府把關重點的關鍵基礎設施的資安,落實防護,若研發出好的防護技術,可以做進一步的技術服務的開發和移轉。第三,資安人才培育也是資安院重要的任務之一。
他解釋,因為資安院不是政策諮詢單位,也不是政府《資通安全管理法》的主管機關,但需要提供很多資安技術方面的協助開發、還要移轉給民間使用。
除了數位發展部、資安署之外,另一個相關單位是數位產業署,主要是負責國家數位產業發展推動、定義數位產業,也會對國家數位產業提供相關的協助、輔導和獎勵,這些都囊括在產業署的工作職掌範圍。
對推動產業數位轉型的過程中,也會遇到各種資安議題,不論數位轉型或綠能轉型等,資安都是標準配備。
何全德表示,產業署負責國家數位產業的發展跟推動,包括資訊、資安、網路、通訊和傳播等五大類業務,數位產業署也會對國家數位產業提供相關的協助、輔導和獎勵。
數位產業若要進一步提升、成長,產業署就要推動數位轉型,而轉型過程中,不論數位轉型、淨零轉型等,都會碰觸很多資訊安全相關議題的情況下,資安院也會和數位產業署一起提供相關的資安技術諮詢與服務。
不過,資安院除了和數位發展部、資安署三位一體,也同時會連結數位產業署一起提供諮詢和服務,也會與各個相關部會做連結。
舉例而言,金管會先前推出「金融資安行動方案2.0」,不僅要擴大金融圈,也要推動零信任資安架構,並且要做到資安長的協調會報。
他指出,像是零信任資安架構,就是資安院可以協助的面向,例如,對於零信任產品的認證、驗證、技術、價格的諮詢服務等,都包括在內。
所以,資安院也會連結相關部會,並提供所有部會往數位轉型、淨零轉型的過程中,對需要的資安技術與其相關的前瞻研究、甚至是引進相關標準規範等,這些都是資安院積極努力的方向。
資安院是國家級的資安研究單位,提供服務的對象,所涵蓋的不只是政府公務機關,推動產業的資安也是資安院很重要的工作項目之一。
所以,各部會與民間產、官、學、研所需要的資通安全相關技術諮詢和服務,關鍵基礎設施機關的資安防護,以及包括法規、策略、標準、規範在內的資安治理等,都是資安院的研究範圍。
不過,國家科學發展最高指導單位的國科會,也成立資安科技研究中心,同樣都是針對資安技術的研究,和資安院相較,兩者有何不同?
對此,何全德引述數位發展部部長、也是資安院董事長唐鳳先前曾經提及的定義來解釋,他說:「資安院研究的技術就是四年內可以落地的技術;資安科技研究中心做的是學術拔尖,則更偏向前瞻性的資安技術研究,兩者有很明確的任務分工。」
數位轉型和淨零轉型是臺灣發展的重要關鍵
面對國際地緣政治的複雜情勢,臺灣一直佔據關鍵角色,有風險但同樣也有機會。何全德表示,如果要看2020年至2050年、未來這三十年的發展,臺灣產業結構一定會有很大的改變,數位產業的產值一定會持續擴大的情況下,臺灣必須要掌握數位轉型、淨零轉型的機會,但中間也要確保國家的數位韌性,例如從俄烏戰爭引發的地緣政治的風險,或者是COVID-19帶來的社會風險,若要確保臺灣安全,就必須要做到數位韌性和數位永續。
臺灣有很好的硬體和半導體產業基礎,隨著各種人工智慧應用,例如ChatGPT的發展和更多數位服務冒出頭,對臺灣而言都是前所未有的機會,如何在既有良好的半導體產業基礎上,加上更多人工智慧創意和淨零轉型,並利用資訊科技做節能減碳、做更好的碳排管理等,對產業發展和轉型都有正面效益。
此外,當所有產業開始上雲端、或開始大量採用人工智慧技術,以及各種資料驅動等,資安就會變得越來越重要。
他認為,當我們可以預見未來資安發展趨勢時,資安院有責任要做到超前部署,針對所需要的資安科技研發和人才培訓標準的規範運用等,打造讓臺灣更安全、安心跟安穩的數位環境,這是資安院很重要的目標。
再來,他也期許資安院能夠變成國際級的資通安全專業的研究機構,有這樣的法人單位加上有好的人才,就可以研發好的技術,然後能夠協助產、官、學、研,做更好的資安防護。最終,可以促成產業或是一般社會大眾,都能夠享受安全、安心跟安穩的「三安」數位環境。
期許資安院能夠變成國際級的資通安全專業的研究機構,最終,可以促成產業或是一般的社會大眾,都能夠享受安全、安心跟安穩的「三安」數位環境。──資通安全研究院院長 何全德
資安院具即戰力,AI、後量子密碼等都是研究重點
資安院在各界的支持與期待下成立,何全德表示,目前招募的人才,囊括以往技術服務中心170位資安專家,今年底前招募人數目標為220人,預計五年內成長到500人。
他也說,現在的170人中,具有博士學位的有二十多人、占整體員工的7%,平均學歷都有碩士以上,全部都有多年工作經驗,「這是一個具有即戰力的隊伍,」何全德肯定說道,未來四年也會專注在可落地的資安研究開發,像是一些滲透測試的檢測工具、資安健檢、資安分析等技術研究發展,都是資安院的重中之重。
資安院也成立一個「前瞻籌獲中心」,就是專門做比較偏向未來技術的研究與開發,比方說,現在ChatGPT很熱門,未來一年、兩年相關的研究以及技術諮詢會非常多,期待資安院可以扮演技術諮詢的角色,並推動相關軟硬體和服務的檢測,確保其安全性。
何全德坦言,如何強化個資保護已經是全民關注的議題,資安院也在研究數位訊息防護技術的開發和移轉,從資料產生的過程、傳送、儲存到最後的銷燬,都需要有安全的防護技術,這也是目前研究的方向,「但資安院不會做商業性、與民爭利的產品,會研發的是具備戰略性的資安產品或技術。」他說。
他舉例而言,像是後量子密碼時代的來臨,美國NIST正在評選最後的後量子密碼標準,但不論哪一個入選最後標準,牽涉範圍很大,資安院有責任關注此事,更要設法在新定版後量子密碼實作的過程中,針對相對應演算法的更新有對應的作為,讓未來所有密碼演算法更新,可以符合國家和社會的安全。
這樣的前瞻研究也必須做到產、學、研合作才行。何全德也坦言,以資安院目前不到二百人的規模,其實做不了太多事情,例如現在AI浪潮來襲,像是AI的檢測就會是重要的議題,對於AI演算法可信任度(Trustworthy)的檢測工具開發、測試等,也是今年內重要的目標之一。
此外,像是油、水、電、醫療、金融等關鍵基礎設施的安全防護,今年會先鎖定醫療機構的安全性進行保護,不僅要保護病人個資,加上醫療院所已經開始引進許多會牽涉病人生命安全的OT設備,資安院也會檢測相關OT設備、研究並制定標準規範;除了關鍵基礎設施防護外,還有零信任架構等,未來還有低軌衛星通訊鏈路的數位韌性和數位安全等,這些都是未來四年內要落實的項目。
資安院和其他法人單位採取「合作分工」模式
由於資安院是一個法人單位,和其他數位發展部下設的其他法人單位,例如資策會、電信技術中心等,則會採取「合作分工」的模式進行互動。
他解釋,合作分工是「先合作再釐清彼此責任」,但「分工合作」則是先確認工作範圍之後才進行合作,兩者思維是不一樣的。
不同法人的專業並不一樣,何全德以中研院研究後量子密碼為例,那是屬於最前瞻的研究階段;但如果到最後標準選定後,接下來就會是更換密碼演算法的實作問題,而新的加密器是否安全,相關的測試和實作,資安院會責無旁貸地出面承擔。
他說,至於國科會的資安科技研究中心仍會偏向前瞻資安技術POC(概念性驗證)和理論性研究;資安院仍偏重應用面、技術面的研究,甚至開發實作一些新的產品工具。
美國NSA(國家安全局)也有其不對外公開的漏洞作為網路武器之用,為了做到主動防禦,美國CISA(網路安全及基礎設施安全局)也會針對某些常用設備的漏洞,彙集成一個漏洞資料庫,這是一般業界不會做的事情。
何全德表示,資安院也會朝著類似目標,集結臺灣政府機關常用設備的漏洞資料,讓更多資安業者或企業用戶,可以即時掌握相關的漏洞消息,避免後續駭客利用這些漏洞資料造成更大危害。
何全德表示,資安看似複雜,但也不複雜,掌握後,也是基本工;而不論是4G、5G通訊系統到低軌衛星,或是CTI(資安威脅情資)搜整萃取作為主動防禦,資安院都期待成為一個交換平臺,把SOC或ISAC的資料放在這個平臺做交換和分享,目前也有STIX的共通格式做資料交換。
他表示,當匯集所有資料後,可以利用AI做資安情資蒐集、彙整和應用,資安院便能掌握即時情資、進一步做到超前部署。
至於人才的問題,何全德指出,無論是資安人才培育、加強員工資安意識和提升全民資安意識等,都是資安院接下來必須要接手處理的議題。
今年先定義資安長和鑑識工程師的職能基準
資安院在人才培訓部分,今年主要先鎖定「資安長」和「資安鑑識工程師」,定義出相關的職能基準。
何全德坦言,資安人才面臨結構性問題,要解決人才不足的問題,像是政府或是一般企業,在地端人手不足的情況下,可以透過將系統集中上雲的方式,解決企業資安人才不足的問題。
他也同意,「軟體安全做的好,資安沒煩惱」,可以透過源頭管理,像是SSDLC(軟體安全生命週期)、SBOM(軟體物料清單)或是DevSecOps等,都是很好的確保資安的應對方式。
他表示,接著可以加強資訊人員的資安能力,畢竟許多企業或單位會有IT人員但不一定會有資安人員,在IT的基礎上增加對資安的掌握度,是培養資安人才最快的方式。
另外,何全德也指出,政府部門會延續以往資安服務團的作法,進駐到重點單位提供服務,今年會選擇掌握民眾個資或曾發生資安事件的部會進駐,提供為期三個月的資安服務。
至於考試院,也在規畫增加資安人員的類科,除了原先的資訊處理人員外,也會新增資安類科,讓公務人員考試有名正言順的資安名額。
歐盟的ENISA(網路資訊安全局)提出新的歐洲網路技能框架(European Cybersecurity Skills Framework,ECSF),其中列出12類資安人才的職能基準,何全德表示,資安院也參考其規範建立臺灣資安人才的職能基準,今年先定義「資安長」和「資安鑑識工程師」兩個職能的規格和標準。
為什麼會先挑選資安長?何全德表示,因為金管會和證交所都要求一定規模以上的企業必須要設立資安長,但究竟什麼樣的人適合擔任資安長呢?除了是老闆信任的對象,也可能會由公司其他像是財務長、營運長高階主管兼任外,資安長並沒有一個共通的職能參考基準。
因此,他表示,資安院今年便先鎖定資安長,希望各個企業指派資安長時,可以有一個職能參考依據。
像是歐盟對於資安長的職能定義,大多不是技術性規範,以資安管理、法遵、風險管理、策略管理為主,資安院之後會制定資安長教育訓練的課綱、教材、題庫等等;當制定合適訓練機構的評選標準後,也會發展不同機構的特色,例如,臺中有許多精密機械老闆的第二代,可以透過和中興大學合作訓練課程後,再頒發資安長職能證書,期待這會成為全國資安長的職能參考基準。
至於另外選定資安鑑識工程師,則是當企業發生資安事件時,如何找出資安事件的發生根因和軌跡,需要專業的資安鑑識工程師到企業內部進行資安鑑識,若能定義相關的職能定義,也可以避免不肖資安業者的濫竽充數。文⊙黃彥棻、攝影⊙洪政偉
熱門新聞
2023-12-03
2024-04-24
2024-04-25
2024-04-26
2024-04-22
2024-04-25
2024-04-22