攝影/洪政偉

臺灣資安政策的演進,在過去十年成為引人注目的焦點。隨著蔡英文總統的兩個任期──八年的執政,臺灣的資安政策走上更加積極的道路,尤其是她在任內制定「資安即國安」的國家戰略方針,不僅對臺灣的資安環境帶來重大的影響,也在全球資安治理引起了高度且廣泛的注意。

數位發展部數位產業署署長呂正華表示,首先,從政治層面來看,總統對於資安的高度重視,是政府部門及整個國家機器重視資安的關鍵推動力。

蔡英文總統對資安政策的支持,不僅僅在口頭上表達,也以實際政策作為展示推動資安的決心。例如,蔡英文總統親自出席臺灣資安大會,並對臺灣資安產業的發展,給予全方位的支持。

他指出,這種由總統帶頭、其他像是副總統、行政院長、各部會首長跟進的作為,充分展現出高層領導人重視及參與的政治關注,使得資安議題在政府層面獲得充分的關注與推動。

連帶的,呂正華表示,這種上行下效的氛圍,也會督促行政部門會更積極開展各項與資安相關的工作,對於資安政策的實施,和整個國家資安環境的改善,都會帶來很正面的效果。

其次,從政策層面來看,蔡總統重視資安的作為,也為行政部門的政策制定,提供強而有力的支持,例如,因應民間企業希望政府可以透過投資抵減的方式,鼓勵企業多多投資在資安上,行政部門之間彼此協調、透過《產業創新條例》10-1條的修正,包括端、網、雲和服務,都納入投資抵減範圍。

根據統計數據顯示,2023年申請產創條例的資安投資抵減金額達到78.18億元,共計612件。這顯示出政府對於資安產業的支持力度不斷增強,為產業的發展提供了實質性的幫助和激勵。

呂正華表示,這一舉措不只為資安產業的發展,提供了實質性支持和激勵,使得資安產業得以蓬勃發展,從而鼓勵企業增加對資安的投入;同時,政府還積極提供試驗場域,為資安產業的創新和發展提供了良好的環境。

這些政策舉措的實施,使得臺灣的資安產業得以蓬勃發展,成為了國家經濟發展的一大亮點。

「資安產業化」和「產業資安化」一直是政府在推動資安發展時重要的工作項目,並列為重要的政策目標。呂正華認為,這意味著政府不僅僅關注於提升資安產業的競爭力,同時也重視於提升整個產業鏈的資安水準。這種全面性的政策部署,不僅為資安政策實施提供了有力的保障,也同時為臺灣的資安產業發展打下了堅實的基礎。

(攝影/洪政偉)

社群投入與商機迸發,帶動臺灣資安產業快速起飛

呂正華公務職涯都跟數位產業有密切關係,從工業局電子資訊組組長、工業局副局長、工業局局長,直到擔任數位產業署署長,這段期間,資安產業有了很大變化,因為原先只是數位產業的一環,但隨著許多出國打CTF(搶旗攻防賽)的學生和選手,在全球取得優異成績,加上政府主管開始支持相關的比賽時,資安發展火苗逐漸燃起。

呂正華指出,「年輕人把過去學的資安技術做產業推動,不只是學校學的工具知識,更開始實踐理想、成立資安公司。」資安產業化的重要性,不僅是因為科技發展的推動,更是因為數位轉型的進程中,各項資料都會往雲端走,資訊保護變得尤為關鍵。

然而,臺灣資安產業的崛起也面臨著一系列挑戰。他也說,臺灣不斷面對來自世界各地的網路攻擊,這對於企業和政府的資訊基礎設施,提出了嚴峻的考驗,例如美國聯邦眾議院議長裴洛西議長訪臺的時刻,關鍵基礎設施出現電子看板系統的不設防,更突顯了這一挑戰的嚴重性。

不過,呂正華表示,因為有過去的經驗累積,加上臺灣有越來越多讓人印象深刻的資安產品和服務,以及來自產官學研等領域的合作及政策的推動,他對於臺灣關鍵基礎設施的防護能力,還是有一定的信心。

許多網路威脅鎖定臺灣,接連多起事故也喚醒企業重視資安

臺灣資安產業發展在過去十年,受到哪些外在因素影響呢?美國聯邦眾議院議長裴洛西來臺,中國駭客對臺灣發動網路攻擊的事件獲得媒體大幅報導,他表示,這種高度關注和警覺性,使越來越多企業和廠商意識到資安的重要。

臺灣半導體業龍頭台積電曾因資安事件而遭受損失,但隨後與工研院展開合作,積極制定全球半導體供應鏈的資安標準SEMI E 187,這一標準在2023年1月成功推廣至整個半導體、面板、印刷電路板等產業,為整個產業鏈的資安保護提供有力保障;同時,供應鏈業者也可購買符合SEMI E 187資安標準的設備,進一步提升整個供應鏈的資訊安全水準。

資安產業的發展,不僅是企業自身問題,更是系統性問題,呂正華認為,這需要政府提供系統性的支持和指導,政府可從多個面向著手,包括資安產業的發展、產業資安的提升,以及資安人才的培育等方面,制定相應的政策措施,為資安產業的整體健康發展,提供有力的保障。

他同意臺灣資安大會也是好的平臺,可看到廠商投入成果,也讓更多人選擇資安解決方案時,知道臺灣國產方案和國際廠商的不同服務之處,當然,有些臺灣資安業者提供的解決方案,已經滿足某些企業的需求,鼓勵大家選用臺廠方案;某些產業因為需求不同,會選擇選國外原廠解決方案,也同樣有助於臺灣整體資安產業、產業資安的發展。

零信任資安提升資安水準,DIGITAL+鼓勵業者研發創新

資安是個隱匿在數位時代陰影下的關鍵課題,對於臺灣這個高度依賴資訊科技的國家而言,更是必須正視的挑戰。然而,隨著資安環境的不斷演變和威脅的不斷升級,臺灣資安產業面臨著一系列前所未有的挑戰和考驗。

面對更頻繁的資安攻擊,臺灣必須不斷培養更多的資安公司,資安解決方案更要做到與時俱進。目前推行的零信任資安和軍民通用資安等措施,已經在一定程度上提升了資安水準。

但隨著時間推移,網路威脅的風險不斷演進,特別是對於中小企業而言,投入資安的壓力往往難以承受,更需要政府提供更多資源,以應對日益嚴峻的資安挑戰。

主管機關目前已透過法遵要求關鍵基礎設施業者,例如金融或是醫療等產業都必須設立資安長、資安主管並成立資安專責單位,但是,現在其他更多產業或者中小企業,更在意淨零排放議題,因為他們面對的是:No ESG No Money的議題。

政府也意識到這個問題,呂正華表示,數位產業署推動的「DIGITAL+數位創新補助平臺計畫」,這是針對產業的研發需求,鼓勵軟體資訊服務業者投入創新研發活動,厚植資訊服務業研發能量,進而加速提升產業競爭力。

(攝影/洪政偉)

資安量能登錄與否,成為政府與企業採購選擇廠商重要資格

為了改善產業資安的發展,呂正華指出,政府透過政策引導方式,建立產業資安的生態系統。

改善資安產業需要一點一滴做,政府自2018年開放業者申請「資安能量登錄」以來,不重複申請者有154家廠商通過;資安自主產品認定自2019年開放申請以來,不重複申請者有68家廠商通過。「這已經成為企業採購的重要指標,也是供應商展示專業品牌的重要途徑。」呂正華說,這些都可以達到盤點資安量能,並可以成為臺灣資安自主產品的採購資料庫。

他表示,政府採購將通過資安能量登錄列為「廠商招標資格項目」之一,通過能量登錄,已經是廠商能否成為政府採購選商名單中的必要標準項目,例如,臺南市、臺北市工務局及醫藥品查驗中心等計畫案,都有列入資安能量登錄的資格要求;同樣的,也有企業將資安量能登錄與否,視為能否納入企業採購選商清單的資格之一。

而通過資安量能登錄的廠商,可以藉由證書向客戶展示專業能力、品牌價值,並為公司形象加分、豎立品牌專業、達到擴展商機的概念。他認為,政府藉由強化「資安能量登錄」和「資安自主產品」認定的推廣和支持,可以鼓勵更多的企業參與其中,建立健康的產業資安生態系統。

政府提供資安檢測工具,鼓勵產業進行資安檢測服務

另外,為了協助產業掌握資安防護現況,呂正華表示,政府也提供資安檢測工具,協助受測企業掌握組織內部的資安防護現況,結合端點防禦、滲透測試、強化網路系統架構等業者,組成固定服務團踱,提升整體資安防護力。

他指出,目前推動臺灣重點產業加強投入資安防護資源,也鼓勵採用臺灣資安自主解決方案,迄今提供241家臺灣重點產業,進行產業資安檢測服務,促成至少八千萬延伸資安產業商機。

企業資安檢測的項目,則包括:資安風險現況評估、主機系統弱點掃描、資訊設備組太檢測、網路封包側路分析、惡意程式或檔案檢視,以及防火牆連線設定檢視。

為了提升產業資安韌性,政府也支持企業進行紅隊演練,培養主動升級的能力。呂正華指出,目前已經輔導包括日月光、華碩、勝一化工等製造業(占45%),以及富邦momo、東森得意購、博客來等數位產業(占55%),共計23家的企業進行紅隊演練。

他表示,這些企業透過紅隊演練,可以知道如何強化供應鏈安全、知道如何妥善修補資安漏洞,如果需要資安廠商提供協助時,這一份已經完成資安能量登錄的業者清單,就是可供選擇廠商參考的依據。

推動並落實半導體資安標準SEMI E187

由台積電協同工研院及產業,共同主導全球半導體資安標準制定,並且輔導產業落實SEMI E187,呂正華認為,這就是推動產業資安的最佳例證。

SEMI E187於2022年1月正式發布,舉辦誓師大會並號召產業支持標準落實,參與業者包括:SEMI國際半導體產業協會、TEEIA臺灣電子設備協會、TPSA臺灣顯示器暨應用產業協會、TSIA臺灣半導體協會,以及帆宣、志聖、京鼎、均豪、東捷、盟立、泓陽、凱諾等半導體設備商共襄盛舉;並於9月與公協會合辦論壇研討會、提供顧問諮詢服務和補助資源,並建置合規方案體驗區,產出參考實務指引(Reference Practice)。

呂正華說,2023年最重要的任務就是建立合規案例,推出SEMI E187檢核表(Check List)並舉辦工作坊推廣,也會輔導業者生產全球首批符合SEMI E187規範的機臺,並協助業者獲得SEMI E 187合規性驗證(VoC)。

在2023年7月,SEMI E187標準在美國舊金山舉行的美國國際半導體展SEMICON West,榮獲「SEMI 2023國際標準貢獻獎」;截至目前為止,臺灣也積極在沙崙資安服務基地、臺灣資安大會資安館、SEMICON資安主題館進行推廣展示。

資安社群朝向產業化發展,大企業更願意投資新創資安業者

呂正華表示,臺灣資安社群成群發展,並有白帽駭客社群產業化的趨勢,包括奧義智慧、杜浦數位安全、戴夫寇爾、關楗、法泥、如梭、池安、博歐、資芯、菱鏡、可立可、互聯安睿、泰瑞爾等13家業者,均來自駭客社群。

另外,他表示,更有許多企業積極投資新創資安公司,例如:詮安科技投資匯智安全、鑒真數位投資區塊科技、趨勢科技投資TXOne(睿控網安)、新漢科技投資椰棗科技、力旺科技投資熵碼科技、合勤科技投資黑貓資訊、趨勢科技投資VicOne、中華電信投資中華資安國際、宏碁投資安碁資訊、敦陽科技投資雲智維科技、精誠科技投資智慧資安、中興保全投資保華資安等。

呂正華也說,為了幫臺灣資安業者找到更多國際資安投資挹注,積極輔導新創業者參與國際競賽和募資,例如,德國DEKRA集團併購安華聯網、美國Fintech獨角獸Circle併購博歐科技、奧義智慧和來毅數位科技分別獲得美國以及美國、荷蘭的資金投資,都有助於打入國際市場。

此外,他也說,為了協助臺灣資安業者拓展國際市場,數位產業署會和一些臺灣的資安業者到東南亞舉辦資安日,也會到泰國、馬來西亞等東南亞國家,推廣臺灣的優質資安解決方案,也會跟著當地系統整合商(SI)展開更密切的合作。【本文採訪日期為2024年4月】

 本文出自《CYBERSEC 2024 臺灣資安年鑑》

熱門新聞

Advertisement