蔡英文總統2016年提出以「資安即國安」為綱領的國家資安戰略,相隔幾年後,美國拜登總統2021年亦開始呼籲資安就是國安的議題,甫卸任的美國國安局長暨網戰司令部司令Paul Nakasone,更直言:「Cybersecurity is National Security.」
回顧近年臺灣資安發展,產業界普遍認為資安即國安戰略的祭出,不僅引領國家資安與產業發展邁向全新的階段,更為臺灣資安發展劃下一道具有歷史意義的分水嶺。
資安即國安戰略之所以能獲得諸多肯定,國安會秘書長顧立雄表示,「總統帶頭重視資安」是一個重要的關鍵,因為總統的重視,形塑了一股由上而下持續引導的力量,逐步帶動政府各個部門跟著重視資安議題。
而且,除了要求公部門之外,顧立雄表示,蔡總統更身體力行,直接與民間產業互動,多次公開展現她對資安的重視與公私協力的支持。例如,蔡總統每年會親自參與臺灣資安大會,肯定與鼓勵產業界的努力,也持續接見出國比賽得名的年輕白帽駭客,傾聽各界的想法與需求。
「因為蔡總統重視資安政策的落實,對於國家資安戰略的要求是從結構上整體強化資安,以全面性提升國家安全。」顧立雄表示,蔡英文總統執政的八年,不僅在第一個任期就確立了「資安即國安」的戰略大方向,更在第二任期進一步推出「資安即國安2.0」戰略,包括人才、產業、技術、組織、法制和國際合作等,都有相對應的政策規劃與具體執行目標。
檢視資安即國安戰略八年發展歷程,顧立雄點出幾項重大進步,包括國家資安政策擴及軍事、情報與執法單位的合作、公部門與民間產業資安能力精進、從被動防禦轉為主動防禦、積極推動數位韌性,以及加強公私協力、強化上市櫃資安治理與產業供應鏈安全等。
建立信賴夥伴關係,積極推動數位韌性
「資安即國安2.0戰略的願景,是打造堅韌、安全、可信賴的智慧國家。」顧立雄表示,立基於資安即國安1.0建構的鐵三角架構(國安會、通傳會與行政院資安處),資安即國安2.0戰略進一步將軍事、情報與執法單位也納入國家資安戰略,一舉擴大為六大基石架構,涵蓋國安會、國防部、數位部、國安局、調查局和刑事警察局,組成所謂的新世代「資安六塊基」。
在資安即國安戰略下,國家資安會議由國安會秘書長與行政院副院長(國家資安長)共同主持,顧立雄表示,如此各部會不僅會高度重視資安,更能將八大關鍵基礎設施(CI)以及軍事、情報、執法單位陸續納入國家資安防禦陣線,讓大家在協作的過程中,建立起行政、軍事、情報、以及執法部門之間的「信任關係」,從而成為信賴的合作夥伴,以形成更強大的防禦能量。
在資安即國安2.0的戰略方針下,公部門與民間產業的資安能力也持續精進。以公部門而言,近年來其中一項政策是優先強化第一線執法同仁的資安能力,包括強化執法單位及國安單位的資安人力與專業技能,使其具備精進主動防禦能力,平時可依據資安情資提出預警,在資安事件發生時,以其應變調查能力,追蹤溯源網駭來源。近期,原屬刑事警察局任務編組的「科技犯罪防制中心」法制化,即為一例。
再者,積極推動「數位韌性」(Resilience)也是「資安即國安2.0」的目標之一。他表示,從俄烏戰爭可以了解戰爭爆發時,政府首要任務就是必須確保關鍵基礎設施能持續運作,例如電力、網路的服務,至少在關鍵的特定區域內,絕對不可中斷。
強化上市櫃公司資安治理能力,奠定公私協力信任基石
在民間產業方面,資安即國安戰略也促使上市櫃公司提升資安治理成熟度。顧立雄表示,金管會自2021年底開始推動上市櫃公司的資安治理,明文要求一千五百多家上市櫃公司,必須設置資安主管及資安專責單位;也必須在年報當中說明資安政策,以及公司對於資訊安全的投入。
之後,更明確規定,上市櫃公司如果發生重大的資安事件時,必須要對外發布重訊;今年,金管會更進一步訂定資安事件「重大性」的標準,持續完善相關的規範。
顧立雄認為,金管會對於上市櫃公司資安治理的要求,是自《資通安全管理法》公布實施以來,影響層面最廣的資安規範,並且是針對臺灣重要的民間企業所做的規範。
這一千五百多家公司相較於中小企業而言,有更多資源和更大動機去做好資安,尤其是高科技業者,長期以來都是駭客重點鎖定的目標,一旦遭到駭客勒索軟體攻擊,不僅造成核心的營業秘密外流,也可能威脅到供應鏈安全,甚至影響國家整體的競爭力。
資安領域的公私協力,過往在推動上總是困難重重,畢竟一般企業遭受攻擊因擔憂公司商譽,往往低調處理,然而在資安即國安的諸多政策施行之下,這些過去難以跨越的阻礙也逐漸化解。
顧立雄表示,一方面公部門先強化第一線執法人員的專業能力,包括掌握資安情資、分析惡意程式攻擊手法,以及事件應變,在確實擁有能力可以提供協助之下,再站在保護民間企業的立場,以取信於人。
另一方面,民間企業也感受到勒索軟體與供應鏈攻擊帶來的威脅與目俱增,已非單一企業所能對抗,因而更加重視掌握資訊安全情資與事件應變,對於與公部門的合作也就採取更開放的作法,不僅敞開與公部門合作的大門,也更願意分享自己的情資,讓公部門進行後續的追蹤分析,以嘉惠更多人;如此良性循環形成了公私協力最重要的基石—「互信機制」。
SEMI E187成公私協力典範,透過採購拉齊業者資安水準
近年來,臺灣透過公私協力的合作,推出全球第一個半導體供應鏈資安標準SEMI E187,就是最好的典範。在COVID-19肆虐與俄烏戰爭爆發之後,臺灣在全球半導體供應鏈的重要性可謂舉世皆知,然而,影響供應鏈安全的要素,不僅是戰爭、天災,還包括資安威脅。而身為產業龍頭的台積電,不僅率先制定供應鏈資安標準,更與公部門合作將其擴大發展成全球第一個半導體供應鏈資安國際標準。
藉由帶頭提出供應鏈資訊安全標準,台積電不只是制定產業標準,協助自己合作的供應鏈業者提升資安防護能力,包括:評估供應商的資安狀況並協助改善、主動分享漏洞情資並協助供應商改善,還更進一步主動向政府部門提出建言,建議公私部門在情資分享上,可以做到更緊密與即時的合作,「這不僅推動自家供應鏈體系資安成熟度的提升,更有助於臺灣整體資安的改善。」顧立雄表示。
透過公私協力提升臺灣整體資安成熟度,也體現在改變政府採購資安解決方案的方式。顧立雄說:「透過公部門的採購要求,可以驅動私部門強化資安,提升各產業的資安成熟度,從而帶動臺灣資安產業的發展。」
行政院公共工程委員會已與數位發展部合作,公布全新的「資訊服務採購作業指引」,並且將「各類資訊服務採購之共通性資通安全基本要求參考一覽表」納入契約範本,以強化供應商應盡的義務。
他指出,透過資訊服務採購作業指引,可以要求提供政府機關資訊服務的參與業者,必須具有一定的資安水準,避免資服業者成為政府供應鏈的資安弱點。因為這些業者也可視為政府公開認證的廠商,因此在資安方面就必須特別注意,有必要透過採購契約進行規範,要求廠商做到一旦發生資安事件,也必須保存數位跡證。
資安涉及跨部門溝通,不只是技術議題而是管理議題
展望臺灣資安未來發展,顧立雄期許管理階層以身作則,從風險管理的角度看待資安,而近年開始推動的零信任與數位韌性也必須更加深化,與國際民主聯盟國家的合作則要更積極推展。
由於資安不是單純議題,往往涉及跨部門的溝通與共識,雖說是最需要主管重視和推動的議題,但偏偏又因技術細節繁瑣,而讓主管誤以為資安僅是技術問題,而忽略資安對於企業組織真正的重要性。
因此,有些主管就會認為,既然資安是技術問題,就交給技術人去解決就好,然而,顧立雄直言,這樣的觀念卻是最大的錯誤,因為資安有更多是政策面與管理面的議題,建議企業主管應該要從「風險管理」的角度來看待。
更關鍵的是,做好資安是每一個部門、甚至是每一個人的責任,如果只交由資安部門負責推動,不但沒有強化的效果,反而削弱所有人對資安的重視度,最終淪為無法貫徹落實的下場。
舉個例子來說明,弱密碼(Weak Password)一直是各部門遭駭主因 ,而要改善這個問題,其實不需要困難的技術,關鍵在於建立良好的使用習慣,設定高強度的密碼,然而,主管如果不表達對密碼使用規定的重視,顧立雄反問:「那麼,即便有規定,其他部門又怎麼會聽資安部門的話呢?」
推動零信任資安是邁向數位韌性的關鍵
零信任架構的核心精神是永不信任、持續驗證,前提就是預設每一次的連線都是不安全的,顧立雄說:「資安要做得好,關鍵在我們永遠不能假設自己的環境是安全的,而必須從駭客的角度,思考風險在哪裡。」
他以一件印象深刻的事故為例說明零信任。當時發生駭侵事件的單位不斷強調其內部網路已有實體隔離設計,與網際網路完全沒有任何連線,因此駭客絕不可能有管道入侵,足以保證系統的安全性。然而,實際調查發現,委外廠商為了提供後續維護而預留一條連外專線,該廠商被駭之後,駭客就能循線入侵政府單位,該單位信誓旦旦的實體隔離防護,實際上不存在。
這個典型的供應鏈攻擊之所以能夠成功,就是因為我們缺乏預想被駭(Assumed Breach)的觀念,若事先能夠有此設想,就不會盡信實體隔離措施滴水不漏,而會再度檢視每一個環節、每一次連線,這也就是零信任資安的根本之道。
顧立雄表示,自此每當他聽到實體隔離就等同安全的說法,都會持保留的態度;另一方面,這類駭侵事件的根因也更證實零信任架構:涵蓋身分鑑別、設備鑑別及信任推斷三大階段,是企業組織落實資安、邁向數位韌性的關鍵。
雖然零信任的機制必然讓人覺得使用不便,但是,顧立雄強調「駭侵事件造成的損失已經是無法承受之重,為了徹底落實資安防護,大家還是要盡力克服初期的不便。」
目前在資安即國安2.0戰略指導之下,政府機關、國防與關鍵基礎設施等重要產業皆逐步導入零信任架構,然而,顧立雄指出,接下來,更重要的課題則是,占臺灣企業九成以上的中小企業,因為缺乏資源缺而難以導入零信任架構的問題。
為何中小企業無法導入零信任資安架構會成為隱憂?顧立雄指出,臺灣很多中小企業都是所謂的隱形冠軍,在特定零組件不僅各有擅長,甚至是世界之冠,雖然他們的公司規模可能比不上大企業,卻是全球國防或特定產業必須仰賴的重要供應商。
無人機產業就是一最好的例子,無人機已被視為新世代戰場的成敗關鍵,對無人機產業而言,有機會擠身國防產業,可謂千載難逢的大好機會,然而,臺灣無人機產業普遍以中小企業型態居多,若想進軍國防產業,就必須證明其具有國防等級的資安成熟度,否則難以被國防產業供應鏈信賴;如果連零信任資安都難以導入,對於臺灣隱形冠軍產業未來發展,絕對是最大隱憂。
畢竟,任何企業一旦成為國防供應鏈的一份子,就有極高的可能性被有心國家列入攻擊目標;如果不願淪為打壞一鍋粥的老鼠屎而錯失商機,就必須強化自身的資安成熟度。因此,美國國防部專門針對國防採購所制定的資安標準:CMMC(網路安全成熟度模型認證),就會成為臺灣未來進軍全球國防產業的重要關鍵。
資安是國際合作的優先議題,中油事件是臺美合作例證
由於臺灣一直處於資安攻防的最前線,長年下來,不僅累積了大量資安實戰經驗,再加上身為全球資通訊供應鏈主要國家,天生就擁有許多國家所羨慕的科技研發文化(R&D DNA),不但養成傲視國際的頂尖資通訊產業,更培養出許多世界級資安人才。顧立雄指出,臺灣在全球資安的重要地位已經被各國看到,許多國家與臺灣接洽時,都紛紛將資安領域的合作視為優先議題,而且,這些越來越多的國際合作,更橫跨公私部門。
顧立雄指出,積極與民主聯盟國家合作,共同打造可信賴的資安供應鏈,是蔡英文總統非常重視的資安政策,而積極參與國際資安合作,協助各國打擊惡意網路活動、提升全球網路的安全性,其實也讓臺灣受惠。
回首2020年5月,臺灣中油和台塑石化等關鍵基礎設施業者接連發生勒索軟體駭侵事件,當時多處加油站的業務受到波及,並可能造成更大的社會衝擊。之後因政府反應迅速,並與美執法機關聯手追蹤攻擊來源,調查局很快就找到攻擊行動所用的中繼站和惡意程式,並鎖定罪魁禍首就是中國政府支助的國家級駭客組織APT-41,隨後美國司法部門更據此起訴參與行動的五名中國駭客與兩家馬來西亞業者,可說是國際資安合作的一大勝利。
顧立雄表示,這其實只是諸多資安國際合作的其中一例,由於與國際盟邦的資安合作普遍有高度機敏性,能夠對外揭露的成果相對有限,不過,由於臺灣長期遭受中國各種國家級駭客攻擊,累積了許多中國慣用的攻擊手法與惡意程式樣本,在與國際盟邦合作打擊網路攻擊上可提供實質的助益。
此外,臺灣在民間組織的資安合作主要透過TWCERT/CC(臺灣電腦網路危機處理暨協調中心)和國際CERT組織建立雙邊合作關係,參與國際與國內資安組織與社群的相關活動。而在臺灣將獨有的資安研究成果,貢獻給國際社會的同時,也促成國際資安組織在發現臺灣被駭客鎖定,或有潛在系統性大規模攻擊之前,也將提供臺灣政府機關和民間企業資安防護預警,形成民主同盟國家共同防衛的良性循環。
保護關鍵基礎設施環境的網路安全,就是保護國家安全
現今資安威脅已經足以影響國家安全,因為國家級駭客的目標已經不再只是竊取個人的資料或是產業商業機密,而是企圖破壞國家的油、水、電、通訊等攸關民生的關鍵基礎設施,而這些狀況的不斷發生,也讓我們更清楚認識到:網路攻擊已經成為威脅國家安全的致命手段。
誠實面對未來,接下來各個國家都會培養國家級網路攻防能力,既能捍衛國家安全,也能形成數位武力,對其他國家構成威懾,臺灣該如何因應呢?
顧立雄表示,駭客攻擊已經朝向更精緻(利用設備漏洞、供應鏈攻擊)、更隱密(組建加密網路進行駭攻、就地取材,以合法掩飾非法的攻擊手法)以及更危險(結合認知作戰、駭攻電力及電信等關鍵基礎設施)等層面發展。
當國家級駭客越來越厲害、手法日益隱蔽時,他指出,政府應該要更積極、更全面地把公私部門及國際合作的對象,轉化成為更堅實的夥伴關係,才足以因應接踵而來的各式挑戰。
顧立雄認為,資安防護就像棒球比賽的防守,不管內外野的哪一個守備位置,都要設法避免形成漏接,這樣才是好的防守。
唯有強化資安韌性,才足以因應國家級駭客的威脅,不論關鍵基礎設施面臨設備老舊、缺乏工控(OT)資安專業人才;或者是協助缺少資源的中小企業強化資安;甚至,研議修法由一類電信業者保存網路流量、以利執法單位對網軍進行追蹤溯源等,這些都是未來可以努力的方向。
資安其實是跨部門、跨領域的議題,不應該受到本位主義的限制,或囿於現行法律的規範;加上資安本身也是國際合作的重要議題,我們應該要積極向外發展。顧立雄說:「面對變遷迅速的資安領域,更應該擘畫接下來的資安藍圖,藉此打下未來長遠發展的基礎。」【本文採訪日期:2024年4月】
熱門新聞
2024-06-21
2024-06-17
2024-06-18
2024-06-17
2024-06-18
2024-06-18
2024-06-18
2024-06-19