臺灣日前剛剛在立法院三讀通過《資通安全管理法》,裡面也綱要列舉政府應該要提供資源,推動資安產業發展。不過,臺灣趨勢科技總經理洪偉淦有感而發說:「臺灣真的要推動資安產業的發展,終究還是要靠自己爭氣,不能一直期待政府協助。」資安法將關鍵基礎設施(CI)納管,至少提高相關產業業者對資安的認知。
不過,這兩年來,金融業爆發多起金融資安事件,也讓監管單位採用高度管理手法,最終透過打造資安資訊情資分享系統(ISAC),就是希望可以藉由法律的規範,讓彼此同業有信心去交換資安情資,「知道同業遇到的資安事件,藉此提醒自己多注意。」洪偉淦說,因此,資安法特別針對遭駭知情不報的單位加重處罰,罰金從原本10萬到100萬元,加重為30萬到500萬元,就是希望改善資安事件揭露及資安情資分享。
洪偉淦也提到,資安事件通報應該是一個信任養成的過程,如何做到受害單位願意向主管機關通報資安事件,這必須有很好的信任基礎,而相關的主管機關也不能一接到通報的資安事件,好像中獎一樣,開始思考怎麼開罰,在這樣信任基礎太薄弱的環境下,是無法讓大家願意卸下心防、通報資安事件的。
但他也說,政府制定面對要求業者符合法規遵循,但這並不等同於「防駭」,資安已經對營運衝擊造成重大衝擊,更是所有政府和企業必須要做的事情。從整個國家整體資安戰略而言,本土業者產品技術能力提升有其必要性之外,但因為仍有部分重要的資安技術,臺灣目前還沒有能力掌握的情況下,如何協同國際資安大廠與臺灣資安業者,構築完善的資安產品策略藍圖,是從政府到民間資安業者都必須努力的方向。
「至於資安人才不足,是臺灣各個產業的痛。」洪偉淦表示,資安人才除了高階有能力挖掘漏洞的人,還有更多是日常維運所需的人,透過良好的資安維運以降低企業資安風險,並規畫良好資安架構,才能發揮資安人才最大效益。
他也說,企業內部需要各種人才,從網路、應用程式、資料庫到IT維運等等,如何讓這些第一線IT人員都有資安思維,才能對整體政府和企業帶來最大效益,「資安不是企業內部擁有一位資安高手,就可以解決所有資安問題。」他說。
洪偉淦也以臺灣趨勢科技為例,全部1,600多名員工,研發人員高達1,200多人,但真正懂資安威脅的專家約200人。他認為,軟體工程背景的IT人員,對於資安較容易上手,但資安最終還是要融入管理、研發,以及開發等流程。
他也說,以趨勢科技協助臺灣企業2百多名客戶、處理過5百多起資安事件的經驗來看,僥倖的心態和「我不會這麼倒楣」的心態,才是企業發生資安事件的主因。「魔鬼藏在細節裡,」從網路架構到防火牆規則和白名單的權限控管等,才是讓企業資安可以真的做到安全的關鍵。
相關資料 資通安全管理法立院三讀通過條文
熱門新聞
2024-11-15
2024-11-15
2024-11-22
2024-11-22
2024-11-12
2024-11-14