iThome
甫在7月22日~23日結束一場臺灣年度最大的資安社群研討會第12屆臺灣駭客年會(HITCON)社群場,在第一天開場致詞時,行政院科技會報科技幕僚長郭耀煌也提到,為了提升政府處理資安議題的層級,也將於8月1日正式成立資通安全處(簡稱資安處),並取代既有任務編組形式的資通安全辦公室,透過打造正式的資安專責組織,讓資安成為政府內建的正式職能之一。
只不過,還沒正式上路的資安處也面臨來自學者的質疑,有包括交大資工系特聘教授林盈達、成大電機系教授李忠憲以及臺大電機系林宗男則特別在接受媒體採訪時表示,雖然未來督導政府資安事件處理的技術服務中心(簡稱技服中心)會是由資安處負責,但這群委外的技術人員們,應該是資安處正式負責處理資安事件分析和處理的團隊成員,若仍以資安委外的方式執行,其實和前朝的作為相比,只是小進步卻沒有大作為。
林宗男甚至建議,即將接任資安處長一職的現任國發會資訊處處長簡宏偉,應該設法突破既有的框架和限制,不論是要從修法或者是員額調整等,只要資安處願意,就一定會有路可走,獲得民眾和各個政黨的正面支持。畢竟,「在21世紀的網際網路社會中,安全是最重要的環節,也應該是政府施政,排名前幾名重要的優先施政項目之一。」他說。
資安是充滿理想性的工作,仍需和現實妥協才能取得平衡
面對三位老師對於尚未正式成立的資安處的期許,或許,可以看出,學者從事理上去分析,資安在政府施政以及維持社會穩定上,應該扮演的重要角色。但在實際運作上,是否可以抱持如此高度的理想性,來自行政和立法部門是否也能提供足夠的奧援,成為資安處推動資安時最大的後盾呢?事實上,實際運作和理想上,或許仍有一段距離。
即將成立的資安處成員編制有21人,主要是來自科技部移撥的10人、行政院員額6人,以及其他部會借調的5人,由簡宏偉接任處長,但相關的資安業務仍由科技政委吳政忠負起督導之責。
但是這些資安處的成員,其實就是負責相關國家資安政策的規畫與落實,擅長政府的資源分配以及各種文書作業,但這些受過良好訓練的公務人員最缺乏的技能其實就是第一線網路攻防或第二線分析鑑識網路威脅的能力。不過,資安最喜歡講PDCA這樣的周期循環,這也意味著,一定要先有良好的規畫(Plan),後續的執行(Do)才會正確、有效果;有正確的執行之後,才會明白稽核或矯正措施(Check)應該在哪些部分施行,以及後續應該如何持續改善(Act)。
今天21人的資安處更精準的說,其實是扮演類似資安專案辦公室(PMO)的角色,政府相關的所有資安事件全數彙整到這個團隊中,而領軍的資安處長除了必須擬定資安政策和完成督導單位所交付的任務外,更必須要能夠做到,協調政府所有相關單位,一起重視資安。
林宗男也認為,資安處不應該只關注在政府本身面臨的資安議題與風險,以日前發生的一銀案件為例,這種動搖金融體系運作的資安事件發生時,除了主管機關應該出面之外,像是資安處這樣的角色,面對這種資安事件發生時,也應該主動出面提供協助。甚至於,金融業是臺灣八大關鍵基礎設施產業之一,原本是隸屬國土安全辦公室負責關鍵基礎設施的安全,資安處如何讓資安與國安可以順利接軌,在在都考驗簡宏偉的智慧。
雖然學者對於資安處抱有極高的期待,但不可諱言,資安處在實際運作時,的確面臨在組改之後,組織和員額的限制,即便林宗男認為,只要是對的事情就該努力去做,大家都會支持,但可以料想得到的就是,實際運作時,目前沒有任何的法令規範,可以作為資安處的靠山,很難讓資安處面對內外夾攻的資安事件時,可以名正言順的出面在各個政府機關之間折衝妥協。
再者,今年資安預算大約八億元,各個A級機關和B級機關,真正可以用在資安的部份,說不定分不到百來萬,不管是要買產品或服務,幾乎都不夠用。當初為了推動組織改造,就是希望讓過往大而無當、有許多黑機關的大政府組織,可以更為精簡成一個小而美、兼具行動力的政府單位。
因此,不只是機關進行整併,連人員也都透過向上集中的方式,完成政府部門的員額管制。假若,真的要像三位學者所言,直接把技服中心的優秀人才,以及其他單位優秀的資安人才,全數納入資安處的正式編組,就現況而言是有困難的。
只不過,林宗男也再三強調,所有的機關整併都應該要有上位思考,尤其資安又與許多人切身相關,有足夠的高度和位階,才有機會制定全國機關都採用的資安準則。對於將優秀的技術人員併入資安處的正式成員中,他也不放棄,應該要透過類似的資安加給方式,讓政府內技術人員的薪資福利具有吸引力;當然,這些納入資安處的技術成員,本身也應該要持續進修,並作為一種能力的參考指標。
即便現在很多理想中的資安條件都付之闕如,但林宗男認為,資安處應該採取目標導向的思考方式,從目標回推手段與過程,就可以比較容易達成目標。
資安處優先修訂資安基本法,兼顧政府與非政府機關的資安作為
林宗男認為,資安的素養不只是資安處長應該有,而是所有部會首長,都應該同樣具備相關的基本能力,內化成所有首長的涵養;而資安處也應該協助修訂一份,兼具公務機關與非公務機關都可以參考的資安管理法,讓大家都可以參考。此外,他也建議資安處甚至可以參考新加坡的規定,像是新加坡上市公司的董事會,都明文規定需要接受一定時數的資安教育。他表示,如果可以朝這樣的方式修訂資安管理法,就可以讓該法的適用範圍達到最大。
根據了解,先前從國民黨政府一直到民進黨政府,資安管理法為什麼遲遲無法送到行政院院會通過後,在送立法院修法,其中一個很重要的原因就是,資安管理法是仿效個資法的精神,同時規範了公務機關與非公務機關對於資安防護的作為,但是,許多非公務機關對此有極大的反彈,先前也有諸多的遊說甚至是施壓,就是希望這部資安管理法,僅需要規範公務機關的資安作為即可,不需要納入非公務機關。
整個網路環境是沒有邊界的,不論是政府機關或是非政府機關,只要都是這個網路環節中的一份子,就不可能置外於網路威脅。只不過,許多臺灣企業往往短視近利,只看到眼前的「近利」:如果可以不必花錢做什麼事情,就是賺到的想法,反而使得這些非公務機關,就是直接面對不可預期的網路威脅而無力自保或防禦,最糟糕的情況下,甚至就是遭遇到相關的網路威脅時,公司直接宣布關門倒閉。
近期聽過的案例就是,先前勒索軟體肆虐時,有小公司的電腦中標,公司的所有訂單資料和客戶資料,都在該臺被加密的電腦中,加上沒有其他的備份資料,一旦電腦被勒索軟體加密、付錢也無法恢復時,宣布倒閉也只是剛好而已。
除了新加坡規定董事會要接受一定時數的資安教育外,韓國政府甚至明定,像是中小企業每隔多久,都需要做一次滲透測試,確保網站服務的安全性。而這種透過法令規定企業應該遵循的作法,也同時造就韓國資安產業的蓬勃發展。「這樣的發展狀況,就應該是臺灣資安發展可以參考的範例。」他說。
上週(7/17~7/23)重要資安事件回顧:
※臺灣駭客社群大聚會,科技幕僚長承諾改善資安產業停滯,吸引頂尖人才投入
※全球最大BT網站KickassTorrents所有者遭逮捕
※恐佈攻擊致社會動盪?Google:2015年下半政府調閱資訊創新高
※報導:美國國防部設立資安特種部隊,專門摧毀ISIL組織資訊設施及網路
熱門新聞
2024-10-13
2024-10-14
2024-10-13
2024-10-11
2024-10-11
2024-10-12
2024-10-14