臺灣的資安產業曾是一個小眾市場的角落,然而過去十年它經歷翻天覆地的變化,由被忽視的領域轉變為備受政府、企業關注的關鍵產業。
這種變革背後,國家資通安全研究院院長何全德認為,「資安即國安」戰略推動,為臺灣資安產業的蓬勃發展奠定基礎;而《資安法》實施也帶動了企業對資安的重視,使得資安成為企業營運中不可或缺的一環;監管機關對於資安標準的要求,迫使企業不得不投入更多資源和精力,以便提升資安水準,從而拉動市場需求。這是一系列外在因素的綜合作用,從政策、需求到技術發展,無不影響著資安產業的興盛。
資安產業的蓬勃發展,不僅是政策的推動,更是來自於實際的需求。何全德表示,供應鏈的要求,企業曾遭受駭客入侵的教訓,以及數位轉型和淨零轉型的推動,都成為了資安市場增長的推動力。此外,在COVID-19爆發後,數位轉型的加速使得更多人開始使用網路和科技工具,進一步推動資安需求。
過去,資安被視為被動的防禦性工作,但如今它已成為企業營運的標準配備。許多企業都意識到:無論面對駭客攻擊,或遵守主管機關提出來的法遵要求,良好的資安措施都不可或缺。
展望未來十年,何全德對臺灣資安產業抱持著樂觀的態度。他指出,數位轉型的加速和全球淨零轉型的推動,都將進一步擴大資安產業的市場空間;另外,像是安碁資訊、中華資安等公司的上市櫃計畫以及軟體公司的崛起,更加顯示了資安產業的潛力。
臺灣資安產業的崛起,不僅是一個產業的蓬勃發展,更是新型態的數位經濟的象徵。他表示,資安產業具有輕資產和高價值的特性,將為年輕人帶來更多的就業機會,同時,也將促進財富的重新分配,將為臺灣的經濟發展帶來新的動力,也將為全球的數位化進程注入更多的活力。
(攝影/洪政偉)
臺灣電子化政府為臺灣資安發展奠定基礎
在臺灣電子化政府的發展歷程中,資訊安全政策的推動扮演了至關重要的角色。何全德在公務部門服務超過四十年,作為臺灣電子化政府發展的幕後推手之一的他表示,從電子化政府的元年到資安政策的推動,臺灣資安政策是如何演進的呢?
1996年被譽為臺灣電子化政府的元年。當時舉辦的「網路世界博覽會Expo96」,標誌著政府正式將網路引進到其運作,他說:「儘管當時的網站只是靜態的,僅提供簡單的資訊服務,但就是這一步,真正奠定了臺灣電子化政府的基礎。」
在陳水扁總統任期中,資安政策開始受到重視,在其第一個任期內便成立跨部會協調的行政院資通安全會報,並建立資通安全會報技術服務中心。何全德表示,這樣的組織和作為,也讓政府各部門之間有了真正跨部門合作的機會,進而提升電子化政府的資安意識。
資安政策的法制化是推動資訊安全的重要一環,他指出,當時政府積極推動《電子簽章法》,並引進國際標準,例如英國資安標準BS7799,這些舉措為臺灣政府資安工作的推動,提供參考依據及鞏固臺灣資安政策的基礎,使其得以正式化和法制化。
除了法制化,資安意識的普及和資安人才的培訓,也是推動資安政策的重要步驟。政府積極推動資安意識的普及化,並且投入資安專業人才的培養——最早是成立資安會報技術服務中心,之後才將技服中心改成行政法人,於2023年元月正式成立資安院。
面對日益複雜的資安威脅,他表示,政府開始建立資安事件應變機制,各機關開始設立通報應變聯絡人,並建立政府全體系通報應變機制,政府也將進一步推動資安意識的普及,鞏固全社會對資安工作的支持和參與。
此外,政府開始定期進行兩年實施一次的資安國際演練(Cyber Offensive and Defensive Exercise,CODE),藉此檢驗各機關及關鍵基礎設施的資安應變能力,並提高資安整體防禦水準。
臺灣資安政策成形,最早在2001年成立資安會報
網路科技的快速發展帶來了人類文明進步,也衍生一系列負面問題例如網路成癮和網路犯罪。在這樣的背景下,政府的資安政策與法制逐步成熟。
何全德表示,經歷陳水扁總統、馬英九總統到蔡英文總統等三位總統、共六個總統任期,不同政府的時期,資安政策也經歷演變與調整,資訊安全已經成為政府與社會普遍關注的共同議題。
1996年,臺灣開始踏上電子化政府的道路,政府開始意識到資訊安全的重要性。然而,當時的資安工作,主要偏重於宣導保護資料和電子郵件安全,對於資安風險的認識還不深刻,主要仍是透過行政指導的方式推動資安工作。
當政府逐漸意識到需要跨部會協調、推動資安工作時,在2001年,陳水扁政府時期,率先成立行政院國家資通安全會報,專門負責協調各部門間的資安工作。這樣的行動,也彰顯出臺灣資安政策的發展,已從早期單純的宣導,往制度化和法制化邁出最重要一步。
2016年蔡英文總統上任後,提出了「資安即國安1.0」戰略,並於同年八月成立了行政院資安處,負責草擬《資安法》,於2019年元旦正式實施。
他解釋,《資安法》的制定是臺灣資安政策發展的里程碑,該法規定各級機關應該配置的資安專責人員數量,並訂定《資通安全責任等級分級辦法》,明確列出各級機關的資安責任等級,還律定了各機關的防護水準,從根本上提高國家的資安防護能力。
政府不僅強調了法制基礎,還積極投入資安相關建設。何全德表示,在國科會主委吳政忠的支持下,政府在科技預算內撥出25億資安專案經費,開始建立資安監控中心(SOC)和資安情資分享中心(ISAC)等。
在蔡英文總統任內,資安更是被視為重要議題,她推動了「資安即國安」1.0和2.0的國家戰略,從積極成立行政院資安處,強調資安在國家安全中的重要性;也接著成立資安院,接手執行資安政策、協助政府處理資安事件,以及培養資安人才等任務。
在蔡英文政府時期,臺灣的資安政策雖然取得重大進展,但仍面臨著新的挑戰和問題,政府仍將繼續加強法制建設和執行力度,提高資安防禦能力。
面對未來,他說,政府除了繼續加強法制建設和執行力度,提高資安防禦能力。同時,政府還將加強對資安意識的普及和培訓,積極培養更多的資安專業人才,同時推動資安即國安戰略。
即將於今年五月二十日就職第十六任總統的賴清德,也提出「五打七安」政策,即打擊「黑、金、槍、毒、詐」,也將治安、食安、道安、公安、校安、居安,以及網路資通安全這七項,列為重要的安全工作,可以看出,資安也將是未來賴清德總統重要政見之一。
(攝影/洪政偉)
要求上市櫃公司設立資安長,是資安發展重要里程碑
在臺灣,隨著國家資安戰略的制定成立資安組織,並制定《資安法》相關法規,包括公務機關及特定非公務機關,就有法規遵循義務,例如規定A級機關要做滲透測試、成立SOC(資安監控中心)等,相關的資安需求就會帶動資安市場的發展,也會逐漸演變成資安市場的商機。
現任國安會秘書長顧立雄在金管會主委任內,配合國家政策推動金融機構的資安,後續也有金融資安行動方案1.0、2.0陸續推出,對於金融資安的作為提出很明確的規範。
何全德認為,金管會要求上市櫃公司分級、分年成立資安專責單位、設立資安部門主管,尤其是設立副總等級資安長的要求,更是臺灣產業資安的重要里程碑,「這也讓資安長暨資訊長後,成為企業營運時重要的主管。」他說。
何全德表示,資安院成立就是為了支持和協助政府及關鍵基礎設施(CI),做好資安防護、人才培訓,以及產業資安相關的技術研發,幫國家培養各式的資安人才。
資安院出面訂定適用臺灣的「資安職能基準」
過去,美國曾發布NICE網路安全人才框架,定義7大類別、33個專業領域,以及52個工作角色;到了2022年10月,歐盟網路安全局(ENISA)亦發布ECSF網路人才技能框架,定義出資安團隊12種角色,為資安人才的分類和培養提供了重要參考。
他認為,這些框架定義不同類型的資安角色和相應的技能要求,為資安人才的培養和評估提供了標準和依據。
何全德表示,資安院在這樣的背景下,由資安院人培中心出面,參考美國NICE和歐盟ECSF的框架,建立通用於臺灣的「資安職能基準」,並將臺灣資安人才依不同職能類別和專業領域,分為19種,也會定義相應的知識、技術和能力(KSAs);進一步而言,根據這套基準可制定相應的課綱、教材和測驗,以培養評估資安人才的能力。
「資安人才的培養,是保障國家和企業資訊安全的重要保障。」何全德說,而人才培養工作是資安院的重要職能之一,通過制定和推廣資安職能基準,資安院可透過更理想的方式,對資安人才進行培養和評估,確保其具備所需的專業知識和技能,提高資安人才整體水準。目前資安院先推出資安長班,以及資安事件工程師班,在這種職能訓練之外,未來還會辦理高階實戰班人才;因為資安要分不同產業領域,必須做適地化,且根據不同產業做不同教材。
他認為,資安院作為支持和協助政府和關鍵基礎設施(CI)的資安工作的單位,可以扮演數位強力膠的關鍵角色,透過幫助企業和組織更精確了解自身資安需求,從而更好地配置資源,提高資安整體水準,也能更精確地表述企業與組織本身培養哪些人才,以及自己需要哪類人才,讓需求更精確。
何全德也觀察到,這個數位時代的資安需求持續攀升,也催生出許多資安新創公司,他們不僅提供純粹的資安服務,還讓一些傳統SI(系統整合商)開始跨足資安業務,這也促使資安產業化的發展趨勢。
作為資安風險較高的金融業,對資安解決方案的需求更是持續增加,何全德表示,金融機構積極尋求更有效的資安保護方案,應對不斷變化的威脅和攻擊,不只為資安技術創新和應用提供巨大商機,也成為資安市場發展一大驅動力。
然而,資安不僅是個行業,它還需要不同領域之間的合作和交流,例如,金融業與資安公司的合作、政府與企業的合作等,這種跨領域的合作促進了資安市場的健康發展。在這樣的趨勢下,我們可預見資安市場將會繼續成長,為各行業帶來更多機遇和挑戰。
從技術、管理和教育面落實,確保人員、系統和資料安全
資訊安全一直是臺灣數位化發展的關鍵,何全德表示,面對技術持續變化、資料持續增加,可以從兩個三角形來思考資安的因應策略。
第一個三角形,是強調技術、管理和教育訓練在資安工作的重要性。他指出,透過資安技術的自主研發,加上落實資安政策的管理、稽核與執行,並且藉由教育訓練的方式,把重視資安的全民資安意識,深植每個人的腦中。
「資安院還有一個重要任務,就是要提升全民資安意識,」何全德認為,政府和企業要開展相對應的資安宣傳活動和教育訓練外,也必須提高終端使用者(End User)對資安的重視程度。
第二個三角形,是從人員、系統、資料這三個面向來看。何全德認為,人員就涉及兩個重要議題:人員安全和人才儲備;其次是系統保護,最後是資料保護。何全德說,這是具有戰略思考的保護策略,需從多個層面確保資訊安全,因為未來的資安不僅是技術防禦,更應注重資料保護和系統架構的安全性,ZTA(零信任架構)是更加安全和靈活的架構,可以有效保護系統和資料。
他也提醒法律的重要性,法律應該與時俱進,以應對不斷變化的資安挑戰。何全德表示,政府可以通過法規和採購政策,提高企業和組織的資安意識和能力,從而全面提升國家資安水準。
面對未來,「應該要持續關注AI在資安領域的應用」他表示,AI發展為資安領域帶來新的機遇和挑戰,例如,AI在漏洞掃描、攻防演練的應用,都可以藉此提高資安防禦效率和能力。
他也強調韌性(Resilience)的重要性,因為韌性已經是資安領域的重要趨勢,不僅要做到資安事件的溯源,連資安防禦也必須做到向左移動到開發端等,才能應對日益複雜的資安威脅。
因為資安是全球性的問題,他認為,臺灣需要加強國際合作和交流,共同應對跨國的資安威脅,保障全球資訊安全的同時,也就是保障臺灣的網路安全。【本文採訪日期為2024年4月】
熱門新聞
2024-06-17
2024-06-18
2024-06-17
2024-06-18
2024-06-18
2024-06-18
2024-06-19
