今年是臺灣資安大會十周年,回顧過去十年,資安已經是國家安全等級的議題,我們邀集27位專家,暢談這段期間重要的資安人事物、應該記取的經驗、值得鼓舞的成就,以及對未來政策制定或是產業發展的建言或期許。
台積電企業資訊安全處長 屠震
圖片來源/屠震
資訊安全管理觀念與心態
1:永續性
沒有任何國家或企業能免於網路攻擊。應對安全問題是日常必須,需要持續警惕和準備以減少風險。必須實施可持續的控制。
2:做對基本工作
根據美國眾議院對Equifax違規事件的報告(超過1.4億個個人信息被泄露),掌握基本的網路安全實踐可以防止重大的安全事件。此外,廣泛報導超過99%的雲端網路安全事件都是由於配置錯誤造成的。
3:建立有意義的安全關鍵績效指標
在安全方面,沒有單一的解決辦法,因此組織建立防禦層,有時稱為深度防禦。 關鍵績效指標應設計為捕捉和測量每一層控制的預期有效性。,例如,許多組織報告有關在邊緣阻擋的垃圾郵件或釣魚郵件的數字,防火牆非軍事區阻擋的被感知的互聯網掃描。儘管這些數字可能令人印象深刻,通常在每月數百萬以上,但對安全幾乎沒有價值,我將其稱為「用來對付坦克的步槍」。 這是一個例子:一個有意義的關鍵績效指標是展示病毒越過第一道防線,被第二道防線檢測並發出警報。這將有助於改進第一道防線。
4:專注於關鍵績效指標例外管理
在我們建立穩健和有意義的安全關鍵績效指標之後,每個關鍵績效指標項目,必須有一個合理的目標。接下來,安全組織可以專注於監控和管理未達到確定目標的關鍵績效指標項目。
5:數據保護必須關注普通員工
大多數數據洩漏事件來自「無惡意意圖」的員工,要麼是出於無知,要麼是為了尋找捷徑。組織的實際影響和損失,可能與由犯罪駭客造成的相同。
6:熟悉風險評估,補救成本,知道風險補救措施優先順序
資安主管必須掌握這些技能。安全是由風險發現推動的,有限的資源下,應將緩解成本納入風險補救優先順序。重要的是,要注意:不是所有風險都需要完全補救,有時可以接受風險。您有勇氣向首席執行官傳達這一點嗎?
鴻海科技集團資安長兼鴻海研究院執行長 李維斌
2014年發現第一個針對企業的比特幣勒索軟體攻擊,十年過去,勒索軟體已成為最大網路犯罪類型,背後的網路犯罪集團一直有新血加入和我們滿手的技術債,讓這場戰爭看不到盡頭。未來十年的勒索軟體會是什麼樣子?我們又該如何因應?
面對一堆標新立異、快速在市面上流行的buzzword(流行語),迷惑著高層和干擾我們,必須讓自己的專業跟上變化,才有能力判斷這些buzzwords裡面有多少是真的?還是hype(炒作)?這是一項挑戰,我們必須警覺,並讓專業事實能說人話,以免工作被流行語言迷惑干擾。
強大的AI可以用於造福人類,也可能被用作武器。關於AI安全問題,目前沒有萬全的應對之策。除了擔憂,資安人對此能有什麼積極的作為?
口口聲聲喊資安很重要,實際現場卻是「做起來次要、忙起來不要」令人尷尬的窘境。但隨著資安意識越來越高,法遵對資安的要求越來越多時,聽其言觀其行,且看面對資安的作為是否會因此而有所翻轉。
面對資安事件的發生,不是「if」的假設性問題,而是「when」早晚發生的現實,提高資安防禦和應變能力應該是最佳的回應,但我們也應理解許多企業在考慮資安投資時會面臨成本和回報的迷思。因此,資安需要高層的積極參與和支持,以共同權衡這些挑戰,並促進組織更積極地投資於資安。
資安是個人能想到唯一有敵人存在的學問,這也容易造成舊經驗很快不適用,但新典範的建立卻缺乏前例可循的場景,專業人員的價值要能被重視才能強化逆境中適應的能力。
反常規的思維方式常使我們成為資安規則和實踐的執法者角色,但資訊安全是一項集體責任,我們必須進化成更具戰略性的領導角色,將資安規則和實踐與核心業務聯繫起來。我們必須要有能力連接各方利害關係人,促進彼此協作,才能更好因應不斷變化的挑戰。套句吳宗成老師的話:資安不是一個人的江湖,沒有你,沒有我,只有我們!
國泰金控副總經理 林佩靜
過去幾年,資安事件發生頻率和損失都持續攀升,主要原因包括:高度數位化發展帶來新的資安風險、地緣政治影響加劇資訊戰的發生、疫情爆發推動大規模遠距辦公讓防守邊界變得更加模糊、生成式AI快速發展讓影音詐騙越趨擬真等…,資訊安全面臨前所未有的挑戰,資訊安全議題已成為學校、企業、政府及國家必須面對的顯學。
現今各企業都積極的推動數位轉型,因為高度的數位化,不論在經營模式、商品規劃與服務面項上,均面臨非常大的創新挑戰。
另外加上新興科技的發展,包括雲端、大數據、區塊鏈、API及AI等,也已經高度運用在企業的活動,因此企業的資安策略思維,除了要持續築高牆強化防護之外,更要在持續提高監控、高度管理供應鏈安全、強化各種演練、以及提升應變處理能力等,強化企業面對各種資安風險的韌性,確保企業在面對資安事件時可以快速因應與復原。
駭客攻擊手法勢必會持續翻新,甚至變得越來越專業和隱蔽,目前看起來各類攻擊事件也是不減反增。
因此,無論是企業還是個人都要提高意識,公私部門更該攜手聯防,建立全社會從消費金流到生活理財一個安全、穩健、可持續的資訊環境,保護資料和交易環境安全。
富邦金控資安長 蘇清偉
圖片來源/蘇清偉
10年前的我是一個警察,當時主要工作任務是「依法維持公共秩序,保護社會安全,防止一切危害,促進人民福利」,這也是警察的使命,當然,也包含了保護人民生命財產的安全。
在5年前,宴請轉換公司的老長官,在杯觥交錯中,突然被問及:「有興趣轉換跑道嗎?金融資安」,當時發生許多駭客盜取個資、入侵金融機構、勒索攻擊等事件,尤其金融更是駭客最想攻占的產業,因為錢就在電腦裡,內心盤算,這是一個危險且具有高度挑戰性的工作,必須7*24小時面對來自四面八方的攻擊,可以勝任嗎?
轉換跑道5年了,保護好客戶的資產,是金融資安的核心任務之一,秉持警察緊急事件應變能力,以「早期預警、應變制變」策略,提升資安應變能力、及精進事件分析技能,才能面對一波又一波不曾間斷的網路攻擊,守護客戶的安全。
未來,在數位轉型、金融科技、普惠金融的帶動下,以及如未能有更好的防治駭客之道,金融資安將面臨更嚴峻的挑戰,「十年磨一劍」,利劍可以拿出來了嗎?或是再磨下一個十年呢?
國際票券金融公司副總經理兼資安長 羅天一
首先,正名及思維改變。在傳統資安場域當中,因為以資訊相關考量為主,是故安全的考量大都以商業的正常營運為主,所以,在資料上,著重文字與數字資料型態的保護,以及實體網路、設備的防護。
隨著各種載具及場域的出現,需要防護的範疇已跨域及跨國並涵蓋生活場域,所以,其資料更是「跨態」。除了文字、數字,更包含了圖形以及影音等不同型態的資料,如果仍然沿用「資安」兩字,多數人會認為那是「資訊單位」要負責的事。
但若以「場域」安全二字來考量,其所涵蓋的應與「人身及財產」的安全,或許以「數位安全」來取代「資訊安全」更為貼切,而且要由資訊單位所需負責的「資安思維」,轉變為全民都需有的「數位安全思維」。
其次,策略改變。若以「人身及財產」來考量,那數位安全就需評估風險及保險兩項策略:
一、數位安全風險評估及管理:可分為風險識別、風險分析和評估、風險處理,以及監控和複審等階段,實施方式上可參考國際標準如ISO/IEC 27001和NIST框架,建立與管理風險。
二、數位安全保險:是一種管理網路和資訊安全風險的策略,目的在減輕安全事件(如數據洩露、網路攻擊等)的財務影響。企業組織或個人可評估和建立數位安全保險需求、選擇合適的保險產品及建立保險策略。
數位安全保險可能是一種風險轉移工具,但它並不能替代安全防護措施,而可將其視為一個損失賠付補償工具。通過評估、選擇合適的保險產品,並且建立有效的保險策略,如此應該可以較好地應對數位安全風險。
合勤投資控股資安長 游政卿
攝影/洪政偉
回顧過去十年,科技產業的資安形勢可謂風起雲湧,資安事件層出不窮,駭客攻擊手法更是多姿多彩。新興技術快速發展為企業帶來嶄新挑戰。
面對快速變化的威脅,產業界逐漸認識到資安不再是單一部門的責任,而是與企業生存發展息息相關的關鍵因素。特別是隨著數位轉型的推進,企業核心業務與資訊系統緊密相連,漏洞可能導致災難性後果。因此,企業必須以攻擊者的角度審視內部系統,將資安納入產品設計、開發和服務交付的每個環節,並以高標準來推動資安政策的實施,將之視為事業策略的核心支柱。
新興技術的應用,如雲端、工業物聯網、供應鏈整合等,雖然帶來創新,卻也擴大攻擊面。傳統的邊界防禦已無法應對,企業需要升級為以情報驅動的主動防禦策略。利用人工智慧、機器學習等技術,及時偵測、回應資安威脅,對已知和未知風險進行超前部署,以應對多變的挑戰。
除了內部努力,產業安全的提升還需要產業鏈的協同合作。近年來供應鏈攻擊事件頻傳,突顯協力廠商風險管理的重要性。企業需要將資安要求推廣到每一個合作夥伴,並通過情報分享、聯合演練等方式,共同建立可信賴的供應鏈安全網,以應對整體威脅。
展望未來,隨著5G、人工智慧、量子運算等技術的成熟,數位經濟將迎來更大的變革。產業必須警惕未來的資安挑戰,及早做好防護和風險管控,以贏得先機和信任。這需要企業內部及官產學研各界通力合作,從人才培養、創新研發、標準制定到法規調整等各方面共同努力,共建良好產業資安生態。
總而言之,產業數位化轉型已成不可逆轉的趨勢,而資安則是這場變革的重要保障。它不僅僅是一項成本,更是商機領先的關鍵。企業應以靈活、開放、共享的態度迎接變化,將資安納入企業文化,建立安全韌性並保持高度警覺、迅速應變的態度,開創安全、繁榮、可信賴的產業新契機。
台灣大哥大資訊長 蔡祈岩
圖片來源/蔡祈岩
過去十年來,臺灣在資安意識的提升方面取得了顯著進展,這種變化橫跨了各行各業,包括公營和民營企業。在這段期間,我們見證了這些企業對資訊安全的投入日益增加,不僅反映了對保護數據的重視,也突顯了整體社會對於資安威脅的認知提升。
令人鼓舞的是,臺灣的資訊安全產業不僅穩步發展,更孕育出許多成功的新創公司。這些公司在國內外市場上都表現出色,推動了創新技術的發展和應用。然而,儘管已經取得了一些成就,我們仍有潛力可以更進一步。目前的成果雖然值得慶賀,但我們完全有能力達到更高的標準。
展望未來十年,期待臺灣在全球資安領域達到世界一流的水準,在全球資安舞臺上發光發熱,不僅保護國民的安全,也為全球資安治理貢獻臺灣的智慧以及力量。
銀行資安主管 李嘉銘
感謝蔡福隆先生在強化金融業資訊安全防護方面所做的努力和貢獻,他的領導和影響力有助於提高整個金融業對資訊安全的警覺性和應變能力,保障了金融系統的穩定和安全。蔡福隆先生以他的學術背景和豐富經驗,擔任金融監督管理委員會主任秘書,並在行政院主計處和金融監督管理委員會等單位歷任多個高階職務。他在金融業資訊安全方面的貢獻是多方面的,特別是透過他的領導力來提升金融資訊安全的能量與跨機構聯防,從以下五大面向:
1. 公私協作:提倡政府與各業別公會共同合作,協力分工,根據不同的資安需求給予協助,同時與其他國家的資安組織建立情資分享,以更好地掌握國際資安情勢。
2. 差異化管理:着重強調政府提供重視資安的組織文化,鼓勵設置資安負責單位或人員,並遴聘具資安背景的董事或顧問,以及執行資安長、資安專責單位等措施。
3. 資源共享:支持金融業建立虛擬監控應變指揮中心,負責全天候的資安監控,並鼓勵金融機構在風險評估和管理上進行資源共享。
4. 激勵誘因:呼籲系統化地培育金融資安專業人才,增加校園內資安相關領域的師資,並鼓勵資安人員取得相關證照以提升專業能力。
5. 國際合作:主張加強國際合作,與他國共同應對資安挑戰,共享經驗和技術,建立更安全的國際金融環境。
金管會主任秘書 蔡福隆
圖片來源/蔡福隆
在「資安就是國安」的政策宣示下,這十年來對資安的意識與防護水準都有顯著進展。其中令人欣喜的成果:
1.資安法的施行,讓資安正式法制化:資安法對政府機關、財團法人及關鍵基礎設施等資安防護要求,有具體成效;同時辦理資安法業務需求,亦需增加各單位人員編制及待遇。整體而言均有相當大的助益。
2.一定規模的金融機構及上市公司要求設置資安長、成立資安專責單位:讓資安長制度可以在民間企業萌芽,使公司高層重視資安,可以爭取更多的資源投入到資安工作上。資安部門的成立,讓企業可聘用更多資安專業人員,充實資安人力。
3.八大關鍵設施資安聯防體系的成立,提供領域內相互技援。讓各個機關不再單兵作戰,可以用團隊的方式來與駭客對抗。
尚待努力之處:
1.企業資安仍有待加強:由於資安法範圍並未納管企業,企業受駭客攻擊的風險日增,惟企業對資安的意識及資安資源的投入尚待加強。
2.國內資安產業企待轉型:國內資安產業仍以引進或代理國外資安產品為主,自行開發的資安解決方案或產品仍少,易為國內資安產業發展瓶頸。
3.資安仍屬勞力密集的產業及工作:如何導入自動化及AI的模式,協助低階資安工作人力的轉移,提升生產力,刻不容緩。
未來的期望:
1.公私協力合作:資安不是一個人的武林,需要產官學研公會等單位合作與努力,才能打造國家資安防護長城。
2.資安要超前部署:資安部署永遠要走在駭客的前面,才能免於受駭客挨打;同時,要膽大心細、隨時保持高度警戒,才能永保安康。只有資安作得好,大家才能沒煩惱。
3.資安人才培育要多面向化:人才培育除了資安專業領域外,仍要熟稔網路、作業系統、應用程式、資料庫等相關資訊課程。
行政院公共工程委員會副主任委員 葉哲良
攝影/洪政偉
為回應產業、學界人士呼喚逾20年的政府資訊服務採購革新作為,112年9月工程會偕同數位部,發布《資訊服務採購作業指引》;後續亦將發布《資訊服務採購經費估算編列手冊》,以「指引」取代「修法」程序,加速革新腳步,其中包括採不訂底價最有利標(固定費用/率)、遏止買菜送蔥(機關恣意要求回饋)、多元爭議協處、預算合理編列、強化資安因應駭客攻擊等主軸納入指引,引導機關與產業界合作辦好資訊服務採購。
而在化解積累20年的議題過程中,遭遇重重挑戰。以強化資安防護為例,我們達成下列目標:
一、建立資安基本要求,快速導入契約,增強應變韌性:工程會112年9月訂定「各類資訊(服務)採購之共通性資通安全基本要求參考一覽表」,機關人員管理的資通系統,可依資安法核定防護需求等級,參考一覽表擇定資安項目,即時導入個案契約落實執行。
二、編列一定比率資安經費並獨立列項統計:在計畫層面,依「六大核心戰略產業推動方案」,各機關提報中長程計畫,應就其資訊建設經費編列一定比率之資安經費;在個案採購層面亦應依「資通系統籌獲各階段資安強化措施」單獨估列資安經費並達一定比率。
未來,因應資訊雲端化及循環經濟趨勢,政府以取得雲端服務代替傳統購買的模式,將成為資訊採購主流,但不論採購人員的心態、主會計制度、採購契約內容,都必須有新思維、新轉變。
因此,我期待能持續凝聚各方專業及共識,建立雲端服務專用的契約範本,引導機關邁向雲端。
另外,在資安部分,將統計各部會年度資安經費佔IT的佔比,並與全球相關領域數據比對,以供施政參考,達資安與國安同時兼顧的目標。
中華資安國際總經理 洪進福
圖片來源/洪進福
非常恭喜臺灣資安大會創造了令人驚奇的資安黃金十年,我個人有幸躬逢其盛,可以見證這段歷史的發展,也為受惠臺灣資安大會的產業助力,致上萬分的敬意與謝意。
2015年以來,資安趨勢和技術開展成為臺灣資訊安全領域的重要盛事,促進產業交流與知識分享;接續的「軟硬兼施,攻防並重」開啟資安實戰案例和技術分享,吸引了更多來自產業界的參與者,規模擴增;再以「進化與變革」為題,聚焦資安趨勢的變化和新興技術的應用,也增加了工作坊和培訓課程。
2018年開辦了「臺灣資安館」,提供我國資安業者一個面向市場的平臺,2019年更是首度增加了「Asia Cyber Channel Summit 」,為國內資安產業建立鏈結國際市場、擴展國際資安商機的跨界合作和國際交流平臺,吸引了更多國際知名的資安公司和專家。
2020年後的大會更強調了整個資安產業生態系統的重要性,打造產、官、學、研的合作,也開展更多的創新活動和競賽,鼓勵青年學子參與資安領域,助力資安人才培育。
而在近年的大會主題當中,更重視資安技術與產業的創新應用和合作模式、探討網路安全和個人隱私的保護、人工智慧對資安的影響等議題。
臺灣資安大會毫無疑問是國內最大最具有影響力的資安盛會,期許未來可以擴大國際資安交流的規模,提升成為「亞太最大最具影響力的資安盛會」,也可以思考將全世界都關注的區域網路資訊安全合作、詐騙或網路犯罪防治合作等議題納入對話,不但藉此可以提升影響力,也可以幫上芸芸眾生。
綜觀臺灣資安大會歷年的發展,可以看到其不斷擴大的規模、日益豐富的內容,反映臺灣在資安領域的積極探索和創新精神,也為全球資安領域的發展做出了積極的貢獻。祝福臺灣資安大會再創更豐碩、更巔峰的黃金十年!
TXOne睿控網安執行長 劉榮太
圖片來源/劉榮太
臺灣資安產業日益蓬勃,政府高度重視資訊安全並高舉著「資安及國安」的大旗,過去十年來的資安人才培育,以及資安政策與制度的實施,也取得了顯著進展。
事實上,國內的資安產品公司在這段時間也開闢一條成功之路,代表了臺灣在資安技術領域的實力已經從產品化、市場化的階段發展至企業軟體形式,並朝向全球市場邁進。
臺灣一直以來憑藉高科技製造業聞名全球,然而,軟體的產值相對較低,鮮少有軟體公司能夠成功上市或透過併購走向國際舞臺,尤其資安更是一個獨特的利基市場。
然而在約莫十年前的2013年八月,Proofpoint併購了阿碼科技;隨後在同年十二月,Trend Micro併購了威播科技;2014年二月,Verint又併購了艾斯酷博。短短半年間,三家國內資安公司相繼被國際大廠併購。
原本這些國內資安公司以技術為主,對於自有品牌的商業模式和全球產品行銷相對陌生,然而,透過與國際大廠的合作,這樣的經歷對於資安人才的全球視野和運營能力,帶來莫大幫助。
十年後我們回顧今天,有Cybavo(博歐)被Fintech獨角獸Circle高價併購,CyCraft(奧義智慧)獲得新加坡創投的資金,TeamT5(杜浦數位安全)獲得日本創投的投資,而TXOne(睿控網安)的B輪增資,更是全年度臺灣最大的投資案。這些公司已經走向國際,為全球客戶提供Fintech、IT、OT等不同領域的服務。
如今臺灣不再是新創的荒島、軟體的荒漠,我們擁有技術實力,並且具有臺灣人獨特的勤奮和以客為尊的精神。只要我們能夠緊密鏈接全球資金,並且在品牌建立和全球運營下功夫,相信未來十年我們一定可以開創新局,實現產業的升級。
XREX共同創辦人暨集團執行長 黃耀文
圖片來源/黃耀文
我創辦的第一家新創公司是資安軟體公司阿碼科技,產品與服務的推廣、與最後成功出場,被美國納斯達克上市公司Proofpoint併購,我認為其中一個關鍵要素是「出海」,是否可以成功打入臺灣以外的大型國際市場。
臺灣資安產業有足夠的人才,也有很大的潛力能開發出國際級的產品,但是,是否能夠成功擴大至一定規模,維持長期獲利與發展前景非常重要。
這也讓我們了解到,整體產業發展的關鍵,在於如何讓這些公司擁有國際競爭力,無論是從相對鄰近的日本市場開始延伸,又或是進入像美國這樣具有指標性的大型海外市場。
在這次我們第二次創業,成立區塊鏈金融機構XREX,特別觀察到在區塊鏈產業合規技術(RegTech )的需求正快速增長,而目前大多數 RegTech 廠商主要服務歐美市場,尚未有強大的亞洲市場的供應商。
我認為臺灣絕對有實力做出服務亞洲市場的頂尖 RegTech 產品,並且這個市場的迅速成長,也為現在的資安廠商提供值得思考的新機會。
VicOne汽車網路威脅研究實驗室副總裁及趨勢科技全球核心技術部門資深協理 張裕敏
歷經Shellshock漏洞、Heardbleed 漏洞、WannaCry勒索蠕蟲、Log4j漏洞、SolarWind供應鏈後門等一連串資安事件之後,2024年又迎來開源軟體XZ Utils被植入後門事件。
這十年間,我們目睹了許多重大資安事件的發生,這些事件揭示了資訊安全領域的諸多問題,包括漏洞管理不夠、資安應變不實、災害復原緩慢、經費缺乏以及資安人員不足等等。
Heardbleed漏洞的存在讓許多企業陷入了困境,因為他們無法及時修復漏洞,這導致駭客有機可乘,進而取得關鍵資訊進行後續入侵。而WannaCry勒索蠕蟲的快速傳播,暴露企業在資安人員不足的情況下無法迅速應對的問題,造成了巨大的危害和損失。
「資安很重要」這句話我們常常聽到,但是當系統急著上線的時候,企業往往會妥協資安,這成為了一個普遍存在的問題。除非企業曾經親身經歷過資事件危機,否則他們往往難以意識到資安的重要性,也難以真正投入資安工作的落實之中。
然而,我們也見證到了一些企業,甚至是個人,對資安有極高的重視和執行力。他們不僅落實了資安措施,還時時刻刻保護著機密資訊,這些企業和個人是值得我們學習和效仿的典範。
希望在未來十年,資安能夠得到更加充分的重視和投入。我們期待著在未來的問卷上,能夠寫下「資安經費充裕、資安人才濟濟、企業落實資安比率超高」 的感想,這代表著我們在資訊安全領域取得了巨大的進步和成就。
安永管理顧問公司總經理 萬幼筠
圖片來源/萬幼筠
我國資安從成為政府關鍵風險開始,進展至成為產業政策,並更進一步成為國家安全戰略,甚且成為國家競爭力利器,作為善盡地緣政治的聯盟義務,均與國家發展的脈絡一致。國家資訊安全戰略從官方、公營機構,亦透過資料保護、數位競爭戰略,推動至民間大量投資參與,形成一股創新來源力量。
人才培養是目前的硬傷,除了學校的培養緩不濟急,社會與產業的自行培養,除少數關鍵產業外,接大量從政府挖角人才,使得資安人才與產業契合度還有進步空間。目前許多資安防禦概念,還停留在網路安全底層防禦,缺乏高階與產業應用級的資安人才。
由於產業風險的差異性高,演化成有營業秘密保護、個人資料保護、假新聞防禦等諸般需要,因此資安治理訓練與實戰能力的培養乃我國欠缺。
另針對數位革新的未來趨勢,包括量子資安、人工智慧資安、供應鏈資安等,我國均呈現政策著急、推動與民間認知沒法跟上,這是監理機關與數位部會須注意的面向。
但資安成為企業風險與企業社會責任之不可或缺,也是整體國家風險管理能力最值得鼓舞的成就。
BSI英國標準協會東北亞區總經理 蒲樹盛
科技風險在過去十年緊追在屢創全球氣候高溫的環境風險後,但是,隨著科技應用蓬勃發展,而這些風險卻仍舊看不到解方,以及減緩的跡象。
我們可以從下列三點觀察。
1.全球科技風險惡化:科技風險從數年前的網路安全、個資隱私保護,以及關鍵基礎設施中斷,演變為因AI科技導致的假消息,以及數位力量集中化,在在顯示因科技力落差而形成的「強者恆強」失衡局面!
2.全球環境風險居高不下:環境惡化導致的永續風險已經成為全球的共識。多數國家及國際客戶已明確要求2030供應鏈碳中和、2050淨零碳排。
3.風險管理與法遵要求趨嚴:因風險無法獲得控制,導致日趨嚴格的法遵要求,令組織的管理成本持續增加。
以歐盟為例,2018年為保護個人隱私制定全球最嚴格的GDPR,最高罰責為違反組織之全球營收的千分之4;2023通過數位服務法,最高罰責為違反組織之全球營收的千分之6;而近期通過的AI法,更將最高罰責提高為違反組織之全球營收的千分之7。由此可見科技高度發展與風險的重要性!
因為數位轉型與永續轉型將成為組織韌性最關鍵的要素。因此,企業也應該強化數位應用發展與數位安全,建立數位信任環境,並以數位轉型方式減少能耗與碳足跡,以數位應用幫助組織淨零碳排,讓環境永續得以實現,為未來世代提供永遠發展機會。
KPMG亞太區政府領域資安主持人暨安侯企管執行副總經理 邱述琛
圖片來源/邱述琛
很開心臺灣非常努力地訂定了資安法,終於有明確法源基礎,可用以推動各項工作,但是,在推動過程中,也發現了法遵涵蓋程度(例如:資安法目前僅涵蓋政府機關、關鍵基礎設施業者及特定非公務機關,尚未包括其他產業)和推動(對應政策要求的實際作業方式與經驗分享)的困難之處。
其實資安工作千頭萬緒,非常辛苦,既要技術、更要用心。資安的理想很崇高,但實作還是得從基礎做起,特別是法遵要求,建議可能先從「作得到」開始,再逐步朝「作得好」努力!
也很開心臺灣成立資安署,除了有更多專業人力投入資安工作規畫與推動,因為資安署也要實際遵守並執行各項資安法遵要求,所以,更有機會找到適用的技術工具,並發展出可實作的技術方案與SOP。
資安署本身透過實作,也可以發現政策與實作間的距離,除了可以將更新、更好的作法分享給其他單位,減少大家的學習曲線,在推動進程中,更可以用與其他機關一起合作的方式推動,達到事半功倍的效果。
資安推動很不容易,一定要群策群力,透過相互學習、彼此交流,才能以最有效的方式一起進步。
雖然發現缺失很重要,但是,改善缺失更重要,而改善缺失的基礎,就是要有「作得到」的方法,這樣才能有效地讓其他單位不再犯相同的缺失。相信在大家的不斷努力之下,臺灣的資安將不只是國力,更可以創造國利!
安永諮詢服務公司執行副總經理 曾韵
圖片來源/曾韵
觀察過去十幾年諮詢顧問公司服務的重點,從協助客戶建立資訊安全管理機制、營運持續管理機制、個資管理機制等著重預防性控管領域,移轉到個資或營業秘密外洩調查、資安事件調查等事件鑑識與應變處理的協助,到後來更著重在偵測機制的建立,以期即時發現與損害控制,資訊安全領域不再著重在特定面向而轉向全面發展。
此外,近幾年隨著各種新興科技運用與數位轉型議題,對於資訊安全人才的要求,不再只是傳統的技術或控管的訓練,更加要懂得法律、瞭解業務才能更加協助企業做更好的治理規畫。
市場對資安的需求持續增加,而資訊安全人才的專業分工愈加細化,也更難培育。我們已經可以看到政府或一些組織推出的人才職能地圖,各個學校也設立了資安的學位,期望可以看到系統化的資安人才培育方式,快速培養大量人才提供企業。更建議企業組織也應該規畫人才培育計畫,以協助既有的資安人才能夠快速提升、跟上日新月異的資訊安全議題。
勤業眾信聯合會計師事務所執行副總經理 簡宏偉
圖片來源/簡宏偉
經過多年來各位先進的努力,臺灣的資安逐漸開花散葉,尤其在法制化、產業化,以及政府機關內化的部分,都達到一定的成效,這不是只有資安領域的功勞,而是各領域跨界合作,從產業界、學界、社群等方方面面的投入,才能夠達到的,未來有幾項挑戰,必須要克服。
1、帶領產業走向國際。
臺灣人才的能力和智慧是資安產業最重要的資本,這幾年資安產業在臺灣的發展,涵蓋面夠廣,接下來,是要往國際發展,競逐國際資安市場。主事者必須要建構一個整合平臺,讓不同資安業者可以聚合、成為具備高度專業和特色的資安服務,找出我們的利基點,進而開拓新藍海。
2、協助企業內化。
企業將本求利,法遵僅是最低要求,主事者必須和企業共同找出資安的切入點,將資安從成本轉型為投資,也要協助資安部門和企業的業務結合,才能讓董事會重視資安,將資安提升到治理層級,才能內化、成為企業的重要基礎。
3、提升資安到下一階段。
傳統的防護架構和觀念已經不足以應對現在複雜的環境,資安必須轉型為主動式防禦作為,落實真正的韌性,將防禦邊界往外擴展,善用大量資料進行分析,從事前告警轉化為事前防制。
4、整體數位法律架構。
這是目前最缺乏也是最急切要做的,主事者應該要從整個國家的角度,提出整體數位法律框架,讓各方均有所遵循,尤其必須重視check and balance的制度設計。
臺灣大學資訊管理系教授 孫雅麗
圖片來源/孫雅麗
10年來資安攻擊事件越來越多,攻擊手法與態樣也同步愈來愈複雜、智慧化與多元;資安議題不再局限於技術層面的防禦,更加入資安治理與管理、以及開放軟體及供應鏈攻擊等重要議題。
臺灣資安大會創辦以來,我也多次參與,不管是以學者的身分,或是以官方身分參與,都能夠將我認為重要的議題與訊息跟大眾交流,也能從大會所邀請的產業廠商代表的演講與參展中,獲取寶貴的資訊,這是一個重要的平臺,謝謝iThome主辦單位的用心與認真,受益良多。
臺灣科技大學資管系教授兼資通安全研究與教學中心主任 查士朝
這些年來資訊科技不斷的發展,資安事件的影響也越來越大,社會大眾以及各國政府也更加重視資訊安全。可以觀測到以下的趨勢:
1、萬物皆有風險:從2016年Mira 病毒肆虐以來,大家發現各式各樣的連網設備,皆有可能被攻擊,甚至可能被當作跳板去進攻其他設備。因為這些作業科技與實體世界相連接,也會造成實體生命財產的損失。
2、駭客攻擊手段多樣化:黑帽駭客會採用各種直接或間接的方式,入侵企業系統,甚至透過收集網路上已經外洩的資料,去對其他企業發動攻擊。
3、國家級駭客與駭客集團的威脅:近來有許多國家支持的網軍或黑帽駭客進行駭客活動,因為有額外的資源支持,因此可以進行更大規模的資料收集與攻擊,甚至會將資訊戰作為戰爭的一 種手段。
4、新興資訊科技帶來的資安威脅:企業使用AI等新興科技時,需要評估會不會因此造成資料外洩等問題;在另一方面,雖然這些科技可以用來偵測資安攻擊,但是,目前會被用來進行深偽詐騙或進行攻擊等,這也使得企業或組織面臨更大的威脅。
展望未來,資訊安全工作沒有停止的一天,許多舊式資訊設備即便在某時點沒有弱點,不代表之後沒有弱點。只有透過不斷的接收相關的威脅情資,以識別可能的威脅並進行因應。
而駭客投注來進行攻擊的資源,可能遠大於企業的資安預算,也需要與國家或其他組織合作,共同推動資安。因此,除了識別重要的資訊資產,並且採用主動式防禦外,可能更要認為資安事件一定會發生,而預先規劃好因應策略。
陽明交通大學資訊工程學系教授兼網路工程研究所所長 黃俊穎
圖片來源/黃俊穎
資安十年的「變」與「不變」。
近十年來資訊科技突飛猛進!若要用一個字形容,那大概就是「變」。新興技術包括:物聯網、區塊鏈、量子計算、人工智慧、5G/6G、衛星通訊,以及無人機、自駕車等等,都在這幾年陸續落地。
新技術的推廣使得數位轉型不可避免,唯有導入新技術,產業才能在激烈競爭下領先同業。而這些變化不僅影響個人和組織對於資安的需求,也改變資安人才的培育方式。
在資安需求方面,數位化程度的提升讓環境面臨越來越多的資安挑戰。過去較為封閉的系統和網路環境逐漸開放,讓系統的可攻擊面愈來愈廣。而隨著大數據和人工智慧的應用,對於資料隱私的要求也日益嚴格。我們需要擁有更加全面和多樣化的資安解決方案,以應對不斷演變的威脅環境。
人才需求和培育方式也有所不同。個人有幸參與這十年來社群、學界、和業界在資安人才培育的工作。有別於傳統專注於教科書上的理論,資安人需要具備更廣泛的技能和知識。國家需要資安產業,更需要產業資安。資安意識必需推廣和普及。而資安人才培育除了理論基礎,也要結合實際案例和模擬演練,提升實作能力和問題解決能力。
即使技術變化劇烈,我們仍有機會以不變應萬變。不變的是資安人依然需要紮實的基礎能力,並對技術保有不減的熱誠和學習態度;變化是新技術發展的必然結果,也是數位轉型帶來的挑戰和機遇。唯有不斷學習和創新,資安人才才能夠滿足組織日益增長的安全需求,並在不斷變化的資安領域中保持優勢。
臺灣大學資訊工程學系副教授 蕭旭君
圖片來源/蕭旭君
因為大眾的數位素養增加且個資外洩事件頻傳,近年社會各界對網路隱私和資安的重視程度與日俱增。
回憶起這十年來的大事件,歐盟於 2018年生效的一般個人資料保護規則(GDPR)是一個重大里程碑。GDPR 賦予歐盟的公民更多對個人資料的自主權,要求企業在蒐集和處理資料時必須經過使用者的明示同意,這項法規不僅影響了歐洲,也為世界各國的隱私法規立下典範。
不過,在追求個人隱私的同時,也產生了隱私和國家安全之間的張力。近年恐怖主義、戰爭威脅、網路犯罪、兒少相關犯罪與詐騙等等,導致不少國家透過修法或加強管理手段,如英國通過調查權力法案(Investigatory Powers Act 2016)賦予政府權力調閱網路上的資料與紀錄,更多人也聽過中國的金盾工程為加強對網路內容審查和過濾。
2019年底爆發的COVID-19疫情,更讓隱私與公共利益之間也形成拉鋸。為加強疫調的效率,多國政府啟動手機追蹤等防疫科技,有效助力疫情管控,卻也引發了隱私遭侵犯的質疑。
近年大型語言模型(LLM)的興起與生成式AI普及,資料收集和使用的規範相對缺乏,其是否大規模出現隱私洩漏問題,值得國人重視。
從上述案例可見,在隱私權議題與公眾利益、國家安全等核心價值常常不可避免地產生張力。面對這些「對峙」,需要在科技、法律與社會等不同層面,尋求最佳的權衡。
從技術面來看,隱私強化技術相關創新研究是重要課題,如加密與匿名通訊技術、隱私保護資料分析、零知識證明等,期能最大限度實現隱私保護,且不損害功能性、可用性和系統效能。
此外,立法與社會也扮演關鍵角色。需要透過制定合理、明確的法律規範,明確界定隱私權的範圍,並建立必要的隱私保護機制。同時,提升全民的資安與隱私意識,形成「直覺型」尊重個人隱私的社會共識,也是不可或缺。
元智資訊管理學系助理教授 王仁甫
圖片來源/王仁甫
非常感謝李德財院士擔任國安會諮詢委員,為總統擬定資安即國安1.0戰略,促成《資通安全管理法》、《國安法》2-2條,以及《情工法》修法,使關鍵基礎設施的資安建設有法可遵,讓資通電軍成為準情報機關,再邀請國內資安產業提供量能,協助8大關鍵基礎設施聯防體系的建構,打下我國資安韌性的基礎。
後續李漢銘諮委因應境外敵對勢力網路戰威脅升溫,升級資安即國安戰略至2.0,啟動主動式防禦資安體系。
但隨著境外敵對勢力運用AI技術,將網路戰升級為資訊混合戰,資安防守範圍,也擴展至防詐騙及阻擋認知作戰,故臺灣仍須要設立資訊服務法、AI法規、6G應用法規,及修調資安管理法、個資法等相關法規,加大大學研究經費支持,連結資安產業技術,共同培育資安跨領域人才量能,以及提供國內自主研發資安產業發展基金,加速該產業研發量能,擴展國際品牌及通路,期待政府研擬資安即國安3.0戰略,提出防護智慧臺灣的完整資安藍圖。
TXOne Team Lead of TXOne PSIRT and Threat Research 馬聖豪
圖片來源/馬聖豪
資安過往被認為是做駭客生意的壞事,或僅是少數寡頭巨獸般存在的大企業、國防產業、政府才需在意的問題。
十年來諸多組織、學界、社群與政府的聯合努力下,已開花結果並成熟,如臺灣駭客協會、HITCON、AIS3 與數位發展部,民間已從過往的排斥、到現在大多臺灣企業內部開始落實資安產品導入、與程式碼品質的審核以減少產品端上的高風險漏洞發生等。
其中 CYBERSEC(臺灣資安大會)的大力努力推動功不可沒,提供臺灣本地研究社群,類似對岸烏雲與吾愛破解般的豐富舞臺,與遭受攻擊風險的企業得以交流成長,唯有攻守方攜手進步,才能創造難以攻破的安全組織與產品。
在可預見的未來,如GPT驚艷全球,人工智慧與大語言模型將逐步取代高度繁複且注重人力卻核心的工作任務,如程式碼稽核、一線客服諮詢、定點巡邏無人機與自駕車等。
然而,任何有程式與軟體存在之處便存在的資安威脅、在輔以人工智慧技術之自動化的未來,軟體將逐步接管我們賴以生存的真實物理世界,使資安行業在全球總行業的比例愈發顯得重要。
現在的我們正處於關鍵時代,期待與 CYBERSEC 社群研究能量一同成長,並為臺灣乃至全球關鍵零組件地位守護安全、建構更加安全的世界以抵禦來自跨國攻擊的惡意。
TXOne威脅研究經理、HITCON CISO Summit總召 鄭仲倫(Mars Cheng)
圖片來源/Mars Cheng
過去十年,資訊安全領域無論在臺灣或全球,都逐步成長為顯學,受到政府和企業高度重視,逐漸形成了成熟的供需生態鏈。在美國,成立網路安全暨基礎設施安全局(CISA / DHS);在歐盟,推出一般資料保護規則(GDPR)。
臺灣除公布《資通安全管理法》,增強政府單位資安防護,金管會也促進上市櫃公司強化資安管理,這系列措施持續強調資安日益受重視的趨勢。作為資安從業人員,我們對整體環境朝向更為完善階段的發展抱持深切期待。
同時,為了解決資訊安全人才供應的問題,多國政府和學術機構不遺餘力,從學校開始著手培育人才。例如:臺灣的教育部,推出先進資通安全實務人才培育計畫(AIS3),韓國有 Best of Best(BoB)計畫,日本設有 Security Camp,而在亞太地區,亦有 Global Cybersecurity Camp(GCC)等國際訓練和交流項目,逐漸讓資安人才供給趨向穩定。雖然補齊業界對資安人才的巨大需求仍需時日,但已是好的開始。
我們期望未來資安不再是特定政府單位或企業關注領域。資安無處不在,與每個人的生活緊密相連。將資安普及為全民必備的通識,讓大眾對於資安威脅擁有基本且完整的了解,從而建立全民的資安素養,預防各式潛在的網路威脅和攻擊,我想該是接下來的願景。
在2022年的臺灣駭客年會,我們特意開放一定數量的免費票,希望吸引更多人接觸、認識並了解資安。然而,普及資安知識並非一蹴而就,期待與資安領域的同仁攜手,共同為產業乃至於大眾日常生活建構更安全的網路環境。
CRETIX Security(aka Hacker.org.tw)前站長 陳浩維
1.盼當責機關擔起資安施政主導角色,回應國民期待:以保衛國家資訊安全為首要任務,應成為更主動的政策推動者和執行者,將有限資源用於符合職責與格局的事務,期盼當責機關效法美國資安最高主管機關:網路安全暨基礎設施安全局(CISA),大力主導各級政府資安作為,並與產業深度合作推升整體資安發展。
2.加強民眾與專家資安施政的參與及貢獻:即使是資安從業人員,未必清楚業務主管機關、架構和業務範疇。若能確立角色與職責,有助於政府政策溝通和推行,民眾或企業遇資安問題時,能循途徑尋求協助。而在專家參與方面,可仿效 CISA Cybersecurity Advisory Committee 架構,於數位發展部或國家資訊安全研究院設立資安諮詢委員會,廣納國內外資安從業領導者,藉由專業意見和資源為資安施政貢獻心力。
3.任命國家資安長及資安領域無任所大使:對內參考美國政府依 Cyberspace Solarium Commission 國會報告而立法設置的白宮國家資安長辦公室;從國家層級推動資安戰略,任命有實戰經驗的專責資安首長擔任國家資安長,賦予權責有效統籌政府部會資安戰略的貫徹。對外Taiwan Can Help策略可延伸運用臺灣資安領域的無形資產和聲譽,拓展網路安全外交(Cyber Diplomacy);設立臺灣首位資安領域無任所大使,作為與歐美資安大使的交流對口,促進國際資安合作,貢獻該領域經驗與技術能量,推動臺灣網路空間的國際政策和資安發展的正面影響力。
4.內部威脅須與外部威脅並進重視:在資安實務方面,(一)建立完善的安全查核制度:由專責單位(如美國責成國防反情報與安全局 DCSA)執行持續查核;確保政府機關內部和外部合作單位、承包商等各級涉密人員,皆依安全存取等級接受初始和持續查核,確實掌握可存取政府機敏資訊的人員名單,加強資料保護避免外洩。(二)應建構應對內部威脅的資安能量和政策:當今資安技術和架構改變,由服務面或伺服器攻擊對內部機密的影響較收斂;反而人員滲透或失誤等內部風險的損失更高。針對保護內部秘密,政府或企業可仿效美國根據總統行政命令,要求關鍵基礎設施或重要政府機關設置內部威脅應對計畫(Insider Threat Program);以現役員工、第三方協力人員及離職員工為對象,在兼顧隱私保護下,打造預防、偵測、調查內部威脅的職能,嚴格施行機敏資訊存取的權限管控(如套用最低權限原則)及持續追蹤資料流向。另主動蒐集可能的內部間諜風險資訊,減低未授權資料外洩的可能性。當臺灣將資料和資訊保護控管拉高到與歐美同級,有助於更緊密的國際交流及合作。
熱門新聞
2024-06-17
2024-06-17
2024-06-17
2024-06-17
2024-06-17
2024-06-17
2024-06-17
2024-06-17