【2024臺灣資安年鑑｜資安十年特輯】企業重視資安的文化，不能只靠資安事件來驅動

幾乎每年在政府機關、上市櫃公司或關鍵基礎設施等領域，都會發生重大資安事件，帶來財務損失、商譽損失、喪失客戶信任度、損害民眾隱私甚至危害國安等負面影響。例如：2016年7月第一銀行ATM遭盜領八千萬元，2023年2月和泰iRent發生40萬會員資料外洩，今年2月，中華電信與國安國防機關出現合約文件外洩。

第一金控副總經理兼資安長劉培文表示，相關的受駭單位都需要花費大量資源，去修復因為發生資安事件所帶來的後果，媒體廣泛報導而引發社會大眾的關注，也迫使企業必須正視資安的議題和風險。

今年初，臺灣證券交易所修訂重大訊息問答集，明確規範資安事件的「重大性」標準為：「當公司核心資通系統遭入侵以致無法提供服務，即必須重訊揭露。」面對近期政府透過修正相關法令，強化上市櫃公司一旦發生重大資安事件時，都應該即時發布重訊，他說：「倘若企業遭到的資安損失，達到股本的30％或是新臺幣3億元以上時，就應該立即召開重訊記者會。」

不過，只用資安事件重大與否驅動企業對於資安的重視，其實是不夠的，劉培文認為，更關鍵的部分在於，企業的資安文化是否已經有所改變？是否可做到平時就從小處著眼、防微杜漸？

「企業的流程與資源決定了企業能做什麼，文化與價值觀則決定了企業不做什麼。」劉培文指出，只有從上到下、真正重視資安的企業，因為已有正確的文化與價值觀，才能夠看到輕微的事件與徵兆出現，或看到外部發生的資安事件後，便能夠在既有的流程與資源下，檢討事件背後的根因，甚至願意投資額外的資源、新的流程等，適度及早因應減降資安風險，形成良性循環以避免未來爆發重大事件。

有人說，資安在企業組織扮演的角色就像賽車的煞車，但劉培文認為，如果資安人願意擴大視野、綜觀全局，那麼，資安人可以扮演的就不只是煞車的角色而已，而是在拉力賽車中，坐在副駕駛座的導航員。

他進一步解釋，這個導航員在發展資訊安全策略和措施時，要觀察內外情勢、綜合考慮業務需求、用戶體驗和風險管理的因素，同時，還要適時地出聲提醒，以及有效溝通協調，確保資安措施不會阻礙業務的發展和創新，才能幫企業創造更大價值。

從5S來評估資安的進展與產業滲透率

資安認知是企業是否願意推動資安的重要關鍵，劉培文套用創新擴散理論來看，他相信認同資安重要性與價值的機關與企業，已經從16％對技術有狂熱的創新者（Innovators），以及較有遠見的早期採用者（Early Adaptors）的這群人，跨越創新鴻溝（Chasm），大舉向占比為84％的主流市場滲透。

所以，不論企業或政府如何推動資安，劉培文表示，重點在於如何運用5S來評估資安的進展，這5S包括：範疇（Scope）、規模（Scale）、速度（Speed）、深度（Substantial），以及典範轉移（Shift of Paradigm）。

他進一步說明，就是在每個不同產業範疇，都能做到讓資安滲透到每個業務線，並且每個業務線都能規模化，讓所有服務、產品及流程的整個生命週期，都能適時考慮資安，將有深度具實質影響力的資安控制措施設計在其中。

劉培文以自己身處的金融業為例，2020年8月金管會推出金融資安行動方案1.0，以鼓勵的方式，推動一定規模金融機構及純網銀率先設置資安長；隔了一年，也就是2021年9月，修改金控及銀行內稽內控實施辦法，當中的第38-1條，就明確要求銀行必須要指派副總以上或職責相當之人兼任資訊安全長，並設置資安專責單位與主管。

2021年12月，再針對上市櫃公司依資本額、業別及營收狀況區分為三級，以這樣的分級與分年推動方式，要求設立資安長、資安專責單位或資安專責人員。這樣的政策制定與推動創造了資安的需求，進而帶動資安的供給，讓資安人才與產業大幅成長，進而促成金融機構及上市櫃公司的資安水準提升。

前述例子可看到，透過每年滾動修改政策（Speed），逐步擴大政策適用的範疇（Scope）與規模（Scale），就能帶動實質與深度（Substantial）變革。

他也提及，金融資安行動方案2.0的精進的性質包括擴大適用、落實深化及鼓勵前瞻，例如金管會2023年擴大開放金融業上雲，就要求因應數位轉型及網路服務開放，增修訂自律規範，深化核心資料保全及營運持續演練，並鼓勵零信任網路部署，這些都是所謂的資安典範轉移（Shift of Paradigm）。

他說「這個時代唯一不變的就是時代一直在變，」業務與資訊的典範勢必不斷遷移，資安自然無法置身事外。

資安產業發展難逃少子化衝擊，需正視雲端布局的重要性

資安產業蓬勃發展有三大核心驅動力，劉培文指出，第一是全球地緣政治局勢變化和不穩定性，特別是中國崛起影響力擴大，伴隨中美貿易戰加劇。

其次，社會對於個人隱私權和數據保護意識的提高，人們對於個資與隱私侵犯的擔憂日增加，各國政府對於數據隱私和資訊安全的法規和合規要求，也越來越嚴格。

第三，因為我們現在身處在第四次工業革命時代，數位技術、物聯網、人工智慧、基因工程等新興技術應用蓬勃發展，這很自然伴隨而來網路犯罪，以及駭客攻擊的猖獗。

臺灣資安產業不脫這三種驅動力形成的框架，但他坦言，來自中國的網路攻擊又比其他國家有過之而無不及，也是臺灣資安產業發展最關鍵的驅動力。因為面臨對岸長期持續攻擊，也讓臺灣在資安人才養成與培育有很大進步，而有這樣大量的防護需求及專業人才供給，自然也就催生資安產業的發展。

至於資安產業發展的挑戰，可將資安產業再細分，因為服務或產品形式不同，所需要的推動策略就不同。劉培文把資安產業概分為三類：管理諮詢、技術服務、軟體方案。

管理諮詢類賣的是國際經驗與品牌，特別是因為各國監理制度及國際標準要求，所衍生出的制度建立需求；技術服務類賣的是在地客製化的服務需求，不論是滲透測試、攻防演練、SOC監控或事件處理，都屬於服務的範疇。

他認為，不論管理諮詢或技術服務形式的資安服務，都是靠專業人力（head count），這些培養出來的諮詢和技術人才與各垂直產業（如金融、高科技）所需的產業資安人員流通容易。

由於管理諮詢及技術服務目前還是非常仰賴高素質的人力，在資安管理法施行，以及上市櫃公司被要求設立資安長與資安專責部門、人員，是否對資安產業與產業資安間對人才的競爭造成不良影響，還有待觀察外，劉培文直指，在人力問題背後，隱含的是臺灣面對少子化對各個產業造成的衝擊。

根據內政部統計，臺灣的出生率自2015年開始一路下滑，每年減少大約萬名新生兒；2023年上半年再創新低，只有6萬多名新生兒。低出生率連帶使社會新鮮人的人數大幅下降。教育部統計處指出，2018年前畢業生人數還有30萬人，推估到了2031年畢業生人數將僅剩20萬人。

此外，整體勞動人口也呈現直線下降趨勢，2030年整體勞動人口相較2022年減少7%，2040年相較於2022年則將整整減少19%。簡言之，劉培文觀察到，若要改善資安產業甚至每個產業面臨的關卡，須正視少子化的問題。

由於管理諮詢及技術服務的產值主要來自人員的服務，產業產值很難擺脫線性成長，劉培文認為，若要期待資安產業的產值能有指數成長，勢必要靠國內自主研發的資安軟體解決方案。

但資安軟體解決方案嚴格來說，其核心主體是軟體，資安只是其中一項功能，比例上來說，劉培文表示，它更需要軟體開發與產業的量能，而這點可能是資安產業發展政策長期被忽略的。

他表示，臺灣的軟體解決方案還必須具備能與國際級廠商產品競爭的性價比，且這個性價比的比較，是要求性能必須達到一定水準，而非單純只靠低價策略或政策保護。

對產業資安來說，在選擇資安解決方案時，看重的是整體的安全程度、安全水準及性比， 這也導致臺灣自主研發資安軟體解決方案的廠商，大多選擇利基市場，缺乏進入多功能、大規模且具國際競爭性市場的能量。

在此同時，臺灣自主研發的資安軟體解決方案還要面對更具挑戰性的未來，劉培文指出，特別是生成式AI出現，讓企業組織上雲（尤其是公有雲）的步調加快後，政府是否有政策引導國內軟體解決方案的廠商，在雲端及早布局是非常重要的。可以預期的是，在進入公有雲市場後，產業中大者恆大的趨勢，將會比過去在地端的市場更明顯。

開放金融業上雲，打破技術、業務和資安邊界

劉培文同時負責銀行資訊、資安及數位的發展，他一直在內部提醒銀行要面對未來競爭，一定要在10年內轉型為數位指數型銀行，也就是所有產品、服務及作業流程，都能夠以「軟體定義」、「Al決策」及「數據驅動」。

他先以金融業為例，說明未來金融業資安推動重點的5個方向，分別是：1、極端情境下的業務持續；2、全面性的雲端安全架構；3、結合AI的零信任做法；4、敏捷價值交付的資安流程；5、供應鏈資安治理及管理。

他指出，金融業要面對極端情境下的業務持續，當然是因為臺灣面臨地緣政治衝突壓力升高，金融機構必須思考在境內主備中心均失能的狀況下，如何將民眾生活所需最小金融服務，集合在境外雲端運行、提供服務。

「金融業者未來是否能夠做到這點，當然與金管會在去年8月調整大幅開放金融業上雲的政策有關。」劉培文表示，上雲政策又與各銀行在進行的資訊現代化相輔相成，因為不論服務中臺、數據中臺或核心系統轉型，其底層都仰賴雲原生的架構，因此雲端安全將成為銀行必須優先關注的第二個重點。而且因為政策的開放，銀行更容易也必須從多雲及混合雲的角度，重新思考雲端安全的架構與技術。

由於上雲加快，技術邊境及業務邊境將更快被打破，他認為也讓原本是金融資安行動方案2.0重點的零信任，其推動的深化與規模化，面臨更大壓力。

他進一步解釋，未來資安防護的挑戰是：須隨時監控、追蹤、評估與該身分相關的所有行為帶來的風險變動，並據此做風險變動評分，進而即時更動與實施對應此身份的資安政策，也因此動態改變與此身分相連的存取與防護邊界。如此細微與即時的管理，其複雜度與工作負荷，勢必遠超過現有資安單位以人力方式所能支應的情況。

學會用生成式AI的技術來解決資安問題

「資安永遠不是最終的目的，而是確保業務遂行的必要條件之一。」在2022年底生成式AI出現，2023年金管會大幅放寬金融業上雲後，劉培文相信，這對金融業的業務及資訊架構，將帶來革命性的轉變；資安也不可能停留在地端，必須要跟著上雲，同時學習如何運用AI來解決資安的各種問題。

他相信，下個世代的「零信任」資安防護核心，最終也將如同業務與資訊的數位轉型，必須做到軟體定義、數據驅動以及Al決策。而生成式AI的誕生，更加確立賦能了這個發展方向。

若資訊與資安部門能掌握金融上雲及生成式AI的技術能力，勢必也對金融業的業務數位轉型添加柴火。劉培文認為，金融業將能更有底氣轉型，成為敏捷的組織，利用DevOps / MLOps / DataOps小步快跑，交付數位產品的價值，此時資安就必須向左及向右移動，嵌入開發端及營運端。

最後，當前述這幾點開始發展時，供應鏈資安管理的議題將更形嚴峻，不是單憑開發時運用SBOM或SCM軟體，以掌握軟體的來源及組成，還需同時考慮供應鏈及服務供應商的資安治理，確保大型供應商的資安品質及提升中小型供應商的資安水準，這些都是很困難的挑戰。【本文採訪日期為2024年4月】

 本文出自《CYBERSEC 2024 臺灣資安年鑑》