中科院召募海報
臺灣雖然沒有什麼天然資源,但是,面對中國持續鎖定的各種網軍試煉,臺灣也相對成為全球擁有豐富資安病毒樣本的國家。也因為臺灣面對的資安情勢險峻,執政者都無法忽略資安的重要性。
而新政府於520上任後,在千頭萬緒中,以最短的時間,率先面對資安議題的處理,回應外界的期待。
行政院成立正式組織資安處,負責資安事宜
據了解,原本採用任務編組型態的國家資通安全會報作為政策制定、由國家資通安全辦公室作為幕僚單位的資安管理形態將有所改變,新政府即將成立正式組織的資安處,兼具政策制定、執行和產業推動的角色,負責政院所有相關的資安事宜。成立這樣的資安正式組織,則是新政府在回應外界對於政府資安政策期待時的第一記好球。
而資安會報原先由行政院副院長擔任召集人、科技政委和科技部長擔任副召集人,到新的組織框架後,極有可能由科技政委扮演政策主導的角色,科技會報辦公室執行秘書也將扮演重要的政策執行角色。
不過,資安政策的推動,往往必須由上往下才可能真正推得動,達到風行草偃的效果。新政府此時,極可能將政院資安的管理層級由副院長層級,降至科技政委的同時,這將是新政府在回應外界對新政府資安政策期待中的第一記壞球。
再度回歸由行政院資安處督導技服中心
不過,技服中心先前在歷經成立行政法人,又在短期之間遭廢止的風波後,相對應的主管機關也經歷原先由資安辦督導,後來又改成科技部作為主管機關的歷程,從組織定位到主管機關是誰,過程就顯得一波三折。因此,新政府在成立資安處之際,也會回歸直接督導技服中心,此舉也具有穩定軍心的效果,成為新政府在資安政策上的第二記好球。
至於馬政府時代推動的資安三級制,隨著成立正式的資安處,並又重新督導技服中心後,會形成新的資安二級制。或許有人強烈贊成資安二級制的層級扁平,將可以有效快速因應資安議題。但是,資安三級制的推動,則是搭配行政法人化資安科技中心成立的任務分工編組。
總統府國安會下設的資安辦,資安政策應具國家戰略高度
除了行政院資安組織架構的調整外,總統府也有國家安全會議下設國家資通安全辦公室(簡稱國安辦),因為國安會的任務分配,主要是偏重國防和外交的因應和處理,這個國安辦將會處理更加涉及國家安全層次的資安政策制定和相關的資安事件處理。從總統府資安會諮詢委員李德財督導成立的國家安全單位,具備一定國家安全的政策高度,就是名符其實的資安神盾局,未來將要掌管國家層級的政策資安制定。
國安會下設的這個國安辦其實是2012年才成立的單位,當初成立也是非常低調。據了解,馬政府時期國安會的國安辦,原本應該如同一般政府組織在5月19日任期到期,但是國安會國安辦則提前在4月底解散。
或許,因為新政府已經意識到,行政院的資安處面臨的更多是政府體系,包括關鍵基礎設施的安全性,包括資安管理和資安事件處理與防護措施等等;但是,位階若提升到總統府層級,應該更以具戰略高度的方式,思考臺灣面對包括來自中國網軍的鎖定與攻擊時,應該採取何種攻擊或防守的策略,是否需要擴大到區域的資安聯防,甚至是提升到跨國的資安國際談等等。
要成立6千人的資通電軍,還不知道兵源哪裡來
甚至於,新政府列為重要政策內容之一的成立資通電軍「第四軍種」,表現上看似由國防部籌組相關的建軍規畫,但實際上,沒有戰略高度的軍事單位,是無法發揮其應該有的戰略角色與愈及達到的效果。而扮演資安神盾局角色的國安會國安辦應該要制定成立資通電軍「第四軍種」的實施或是作業要點,成為國家層級的資安管理策略方針。
而國安會下設國安辦,不僅可以協助國安會諮詢委員李德財,分擔制定與推動相關資安策略的心力,更因為具備國家安全的政策高度,面對第四軍種的設立和製定,也可以提供相對客觀的建議。但是,坦白說,高達6,000人的資通電軍,從設置到招募、到正式成軍,都是大工程,加上目前兵源短缺,沒有徵兵制度之後,募兵制連基本兵源都無法順利補充,如此龐大資通電軍的兵源該從何而來,對於國安會國安辦和國防部而言,都是一大挑戰。新政府將成立第四軍種列為重要的國防政策,看似一記好球,但因為政策內容難以落實執行,成立第四軍種的建議,恐成為新政府回應外界資安政策期待的第二記壞球。
錯誤的資安人力招募資格,只能招來B級資安人才
全球都在搶優秀的資安人力,近兩年,臺灣HITCON戰隊代表臺灣參加在美國拉斯維加斯舉辦的DEFCON CTF比賽,不僅順利取得決賽資格,最後,也獲得不錯的成績,表現不俗。而這個曾參加CTF國際資安競賽並獲得前10名者的資格,也成為轉型行政法人的中山科學院(簡稱中科院)近期對外公開招募「資訊安全科聘人力」的招募資格之一,更有趣的是,中科學還指定要參加哪幾個特定的CTF比賽並且要獲得好成績的人才,才符合他們招募的資格。
設定CTF比賽作為資安人才招募資格的作法可以理解,也是某種程度的潮流趨勢,但從這樣資格設定的前提也可以知道,中科院心中其實是鎖定這批HITCON戰隊CTF參賽成員,希望有機會可以納為己用。
不只如此,中科院為了突破以往「偏重學歷」的徵才模式,希望更多具有駭客實戰能力的資安人才可以到中科院工作,還特別將資安人才的招募,另外以「國家中山科學研究院資訊安全領域特殊人才進用作法」作為資安人才招募基礎。
主要召募的對像是:非理工學院「資訊管理或應用」相關系所碩士及以上學歷畢業的資訊安全領域特殊人才,符合招募資格條件還包括:具備大學及碩士修滿與「資訊學科」相關課程24學分,且具備國際資安證照,或國際重要資安競賽得名或具資訊安全特殊技能者,就可以報名參加徵才活動。
因為中科院過往軍中科研單位的背景,即便已經行政法人化,但是主要還是以接國防部的專案為主,所以便有人認為,中科院此次的徵才,其實是為了呼應政府將要設立資通電軍「第四軍種」的前哨站。不過,中科院公關室主任顏肇瑩則表示,這次的徵才主要的目的是為了遞補這幾年屆退的人力為主,雖然名目上看起來和第四軍種成立並沒有直接關係,卻是中科院呼應並配合政府政策的作法。也因為中科院的軍方背景,面對外來第四軍種人才召募資格時,中科院的徵才標準,極有可能作為國防部召募資安人才的參考標準。
但是,許多資安專家看了中科院的資安人才招募資格後,只有少數比較年輕的成員認為,若是有機會可以參與一些軍事相關的資安研究,因為是外面商業領域接觸不到的技術,有機會願意嘗試外,多數的資安專家對於這樣的工作機會都表示搖頭、缺乏吸引力。
因為,資安專家們認為,這種人力聘任資格朝向證照化、比賽化和學歷化的資格限制,其實無法招募到真正的神人加入這樣的團隊,尤其是,資安又是一門與學歷、證照無關、只和能力有關的技能,甚至於,有一些我們很熟悉的資安研究員們,有的只有高中畢業,靠著自修達到神人般的成就,面對中科院設定的徵才資格,神人永遠都會是漏網之魚。
中科院作風官僚,如何有創意思維解決資安問題
中科院目前仍有5%(大約6百~7百名)的軍職人員擔任管理角色,軍人的思維僵化又官僚作風,讓他們事事都要控制、報備,但偏偏資安卻是不按常理出牌、跳脫常規的學門,箝制、保守又封閉的環境,要開出自由、奔放又具創意的花朵,結果往往是,這朵花在開花之前就已經先枯萎了。
此外,薪資和福利也不夠有吸引力,碩士畢業的薪水介於54,000~60,000元之間,這是死豬價,不會因為你是做資安或是其他類別的工作,造成薪水會有不一樣,在吃大鍋飯的心態下,不論多好的人才來到這種齊頭式平等的環境,只會變得越來越爛,相對缺乏吸引資安專家到任的誘因。
至於民間機構的薪資,包括資策會、工研院或是中華電信等單位,大多按照學歷敘薪,一般碩士大約45,000元左右,比中科院略低,但若是其他更專業的資安公司,若在趨勢科技任職的資安專家,依照能力、角色不同,薪水大概百萬年薪上下,還有第一手最新的資安報告與資安黑市資訊,整體薪資福利誘因比中科院好,更不論一些資安外商技術顧問的平均年薪大約200萬~500萬元之譜,兩者相較,更是小巫見大巫。
中科院最大的問題在於,採用錯誤的資安徵才標準,而這樣的徵才標準,甚至可能成為新政府中,包括未來成立資通電軍的徵才標準參考。這就是新政府回應外界對資安疑慮的第三記壞球。
新政府上任不到一個月,非常有誠意的面對複雜的資安議題,不過,在這場資安的棒球賽中,現在其實只是球賽第一局上半場,在上場投手投出了二好球、三壞球的成績後,下一球投出來,面對來勢洶洶的打擊者,例如中國網軍,究竟是可以三好球、迅速三振打者,還是投出四壞球,不得不將對手保送上一壘,不僅是考驗上場投手和捕手合作的默契,更是考驗教練戰略戰術應用的智慧。球賽才剛開始,就讓我們繼續看下去。
上週(6/5~6/11)重要資安事件回顧:
※ 美議員擬修法擴大政府調閱資料權限,Google、臉書及民權團體聯手反對
※ 多個網站共用帳密,Facebook、Netflix籲用戶趕快換密碼
※ 第一季全球DDoS攻擊年增125%,100Gbps以上規模創新高
※ Facebook Messenger有漏洞,可竄改對話內容、刪除連結或檔案
※ Google釋出Android更新,一次修補6個重大安全漏洞
※ 研究:三菱Outlander電動車Wi-Fi易被駭,能遠端開門、關閉防盜警報
※ Gartner:6成數位商務恐因資安管理能力不足被迫中斷
※ 俄國社交網站vk.com遭駭,1億用戶資料在黑市以1比特幣出售
熱門新聞
2024-11-18
2024-11-20
2024-11-15
2024-11-15
2024-11-12
2024-11-14
2024-11-19