【專訪行政院資安處處長簡宏偉】資安不只是核心戰略產業，更要讓所有產業重視資安

總統蔡英文在去年520就職演說時，便提到要將資安列為六大核心戰略產業之一，行政院資安處處長簡宏偉表示，六大核心戰略產業的推動是水到渠成，是奠基在小英總統第一任期中所推動的5+2產業創新發展方案，以及第五期資通安全方案的基礎上所做的超前部署，臺灣因為防疫有成，在後疫情時代，率先掌握全球供應鏈先機。

簡宏偉指出，目前臺灣各個產業，都面臨數位化以及數位轉型的壓力，這些產業在轉型的過程中，如果沒有資安作為轉型的基礎，猶如在沙地上蓋高樓，因為沒有穩固的地基而顯得搖搖欲墜，甚至沒多久的時間，這棟大樓就會崩塌。他說：「這也是小英總統希望推動資安產業之際，也能夠讓各個產業都能資安化，達到內建資安的目標。」未來，也會透過「第六期資通安全發展方案」的推動，打造堅韌安全的智慧國家。

六大核心戰略產業都必須要有資安作為根基

檢視過往臺灣遭遇到的各種網路攻擊，簡宏偉表示，先前臺灣遭遇到比較多的網路攻擊屬於DDoS（分散式阻斷式攻擊），但近期發現，DDoS的攻擊頻率大幅下降，勒索軟體的威脅卻急遽增加。

簡宏偉表示，目前看到的網路攻擊是以勒索軟體威脅為主，採用混合式的勒索手法，以往是勒索要錢，現在可能是勒索完後，還威脅公開資料的雙重勒贖，可以發現，現在的勒索軟體有時候只是一種障眼法，目的在於情資蒐集，透過勒索軟體達到經濟目的。而且這樣的攻擊，不只發生在臺灣，很多國家都有發生類似的攻擊手法。

簡宏偉檢視，這也是為什麼除了推動資安產業的發展外，政府除了要發展資安產業外，更積極推動將六大核心戰略產業都加入資安，不管是5+2產業創新發展或者是Digi+，「凡是只要涉及智慧，若沒有資安作為基礎，系統越完善，越容易造成駭客或是惡意攻擊長驅直入。」他說。

現在面臨5G時代，加上寬頻發達、物聯網（IoT）裝置普及等，一個不小心，系統可能就遭到駭客威脅，這也是為什麼六大核心戰略產業，都需要資安作為產業的底蘊。

此外，資安必須是臺灣的核心戰略產業，他指出，如果臺灣做資安卻沒有自己的資安產業，就會變成空中樓閣。以往大家嫌棄資安產業產值規模不高，如果想要產業發展有前途，就必須要有相關的資安技術和管理人才，否則，產業發展蓬勃都只是表面上的、缺乏根基。所以，六大核心戰略產業的發展，是自然而然、水到渠成的原因就在此。

工控系統一旦連網，就有迫切的資安危機

另外，發展關鍵基礎設施（CI）和工控系統（ICS）的資安，也是自然發展的趨勢，畢竟，人力越來越貴、技術越來越進步，加上5G和IoT發展，一旦關鍵基礎設施和工控系統的各種監控設施連網後，以往沒有連網是安全的說法全部不成立，重視CI和ICS的資安就會是產業自然發展趨勢。

接下來，以往關鍵基礎設施或是工控系統的設備商，因為採取的封閉或專屬網路，對於資安並不熟悉，但現在，只需要在設備前端加上一個閘道器就可以連網的情況下，對駭客而言，就是一個新的攻擊沃土，有很大的發展空間。

因此，這幾年不管是美國或是歐洲等國家的工控系統，都陸續遭到駭客的攻擊。從技術面來看，攻擊手法的技術含量不算太高，採用過時的作業系統，有許多舊漏洞可以利用，不管在哪個國家，都可能發生類似的情況。

為了便利管理，就開始有連網、遠端連線控管的需求，為了要省錢，會以自由軟體（Freeware）取代商用軟體；為了更方便管理，員工間會共用帳號密碼且設定非常簡單密碼。雖然知道不該這麼做，但仍會持續發生的原因在於，這些都是人的惰性造成的資安風險。

這也是為什麼工業局、通傳會要求各機關部會重視資安，強迫所有員工和系統一定不能採用預設密碼的原因，且這已經是各國的共通態度。

政府提供資安新創試煉場域

「對我而言，資安已經是類似空氣和水的概念，沒有資安做基礎，大家就不會相信系統的安全性；而沒有好的資安環境，大家也不會敢使用相關服務。」簡宏偉說道，臺灣在資安相關領域雖然已有進步，但程度參差不齊，有些產業走在前面、有許多典範應用，但某些傳統產業，發展資安速度比較慢，重點在於，怎麼提升產業落後的資安意識。

依照國發會資料，近年來，臺灣有越來越多家資安新創公司，產值也逐漸提升，還有很多傳統的系統整合業者或是大公司等，紛紛成立資安子公司服務客戶，成為另外一個主要發展趨勢。

他認為，接下來政府要做的事情就是，提供這些資安新創公司一個測試領域，等到有好的測試成果，就可以推向國際市場，也可以被其他大公司併購。

以前政府會鼓勵產業組成A Team，一起組成國家隊，一起出國搶案子，但簡宏偉經過這幾年的觀察發現，資安新創到國外找客戶很難，臺灣內部就已經自己打成一片了，加上臺灣這邊也沒有辦法投入更多的資源去打知名度，讓更多人認識資安新創時，他認為，可以由政府機關開放場域提供資安新創業者試煉，只要講好規則，不管之後要怎麼打國際賽或者是補足產品線等，都可以由資安新創業者自己去選擇。畢竟，如果業者不想打國際盃，政府壓著業者去打也沒有意義。

攝影／洪政偉

行政院資安處處長簡宏偉表示，政府除了要積極發展資安產業外，更要積極推動將六大核心戰略產業都加入資安，不管是5+2產業創新發展或者是Digi+。凡事只要涉及智慧，若沒有資安作為基礎，系統越完善，越容易造成駭客或是惡意攻擊長驅直入。

臺灣對中國威脅的情報研究，世界第一

美國以往主要威脅是俄羅斯和北韓，自從美中貿易大戰開打後，中國才逐漸成為美國鎖定攻擊的目標。而臺灣長期以來主要的威脅就是中國，因此，多年來，臺灣面對中國威脅的各項研究最為透徹，「畢竟，最了解你的，往往是你的敵人」他說道。

所以，簡宏偉認為，美國和臺灣合作密切的一個重要原因也在於，臺灣是全世界最了解中國威脅的國家，中國擅長何種攻擊手法、研發哪一支惡意程式等等，臺灣相關威脅情資的掌握度也會比其他國家更快、更精準。所以他說，當全世界都需要中國情資時，臺灣對中國威脅情資的相關研究，就會受到矚目。

例如，之前資安公司TeamT5在美國一場威脅情資研討會上，揭露中國資訊戰的攻擊不再是以往單純的小粉紅，開始有組織性的網軍發動資訊戰的攻擊。TeamT5分享針對中國資訊戰的研究引發各界關注，甚至有許多資安專家在推特上，覺得這個研究非常有意義。

中國資訊戰的手法 對臺灣各界卻是相對容易理解的日常生活，但同樣的研究分享到國際上時，卻是其他國家不理解的一面。

他也坦言，臺灣在分享相關情資時遇到一個重大的困難在於，必須要先拿掉許多敏感資訊，但是，當敏感資訊拿掉越多時，資料價值也就越低。從去年他開始在研究一種演算法，透過離散數學的理論，把資料去識別化後，卻仍舊可以保留資料彼此之間的關聯性。

簡宏偉表示，如果可以利用這種加密演算法，無法逆向回推已經去識別化的個資，卻可以保留關連性的資料時，臺灣的巨量資料庫就有機會釋出，不僅可以分享給資安新創業者，這也會是其他國家沒有機會看到的珍貴資料。

推動資安產業軟體服務化

他表示，行政院透過六大核心戰略產業推動平臺，由副院長沈榮津負責督導各產業主政部會盤點，導入核心產業所需要的資安，主動納入資安措施和相關機制；委由國發會、資安處及科技會報辦公室等，協助各部會強化資安防護能量，確保有效保護臺灣資安產業發展。簡宏偉指出，推動資安產業時，發展資安自主產品是一條必須要走的路，從前瞻技術研發到產業發展，經濟部技術處負責前瞻技術研發及技術商品化；工業局負責國內產品供需媒合，以確實推動臺灣資通安全自主產品的發展。

簡宏偉強調，關鍵基礎設施有許多核心系統是採用國際大廠的產品或元件，但這些大廠對漏洞修補的態度不積極，使得產品用戶會面臨到資安產品更新的相關問題。他說，期待臺灣可以透過提升資安自主能力，改善相關議題。

另外，有一個重要關鍵在於，減少使用有資安疑慮的產品，簡宏偉指出，近來，包括美國、歐盟和澳洲政府等，都開始禁用包括華為在內等中國廠牌的產品設備，這也隱含著，世界各國對於中國產品的資安疑慮與重視，而臺灣在特殊的政經環境下，更應該審慎面對，應該如何降低採用中國品牌產品的機會。

簡宏偉認為，但不管是資訊或資安業者，都可以先從提供服務下手，當客戶採用相關的資安服務後，企業有金流，公司營運可以正常化。他建議臺灣的資安業者，可以推動產品自動化相關的服務，不管是把服務產品化，或者是軟體或產品服務化都是可行的方式。

推動第六期資通安全發展方案

「第六期資通安全發展方案」已經於今年二月下旬通過，以打造堅韌安全的智慧國家為願景，搭配「成為亞太資安研訓樞紐」、「建構主動防禦基礎網路」、「公私協力共創網安環境」三大目標，作為臺灣推動資安防護策略與計畫的方針。

「第六期資通安全發展方案」規畫從2021年～2024年資安政策目標與作為，為了培育臺灣資安卓越人才，精進關鍵基礎設施防護作為，利用前瞻科技主動防治威脅並溯源阻斷，再藉由公私協同合作，把資安意識和能量普及到民間企業，打造安全智慧的連網環境。

簡宏偉表示，有規畫四個推動策略，分別是：「吸納全球高階人才、培植自主創研能量」、「推動公私協同治理、提升關鍵設施韌性」、「善用智慧前瞻科技、主動抵禦潛在威脅」及「建構安全智慧聯網、 提升民間防護能量」等四個面向著手。

要達到三個重要績效指標，首先是要建立以需求為導向的資安人才培訓，預計培育350名資安實戰人才，並建立國家級前瞻研究中芯，從技術面及人才面為臺灣未來的資安需求扎根，成為亞洲區代表性高階人才及技術創新基地。

其次，推動政府機關資安治理成熟度含客觀指標達三級以上，明定A級和B級的公務機關，每年應該要辦理一次資安治理成熟度評估作業，從策略面、管理面和技術面設計相對應的檢核項目，並於2024年，要求所有A級機關，都必須要達到資安治理成熟度含客觀指標第三級以上，達到資安防禦做為超前部署、制敵機先和溯源追蹤。

最後，預計四年內，總共要制定12項資安檢測技術指引或產業標準，其中，IoT設備多元，現階段採用逐步制定單一品項的資安檢測標準方式，跟不上產品推陳出新的進度，需要有整體的策略和規畫，透過美國NIST和歐盟ENISA的產品認證架構，作為臺灣IoT資安檢測框架，預計四年累計制定IoT資安檢測技術指引或產業標準達12項，讓IoT設備資安檢測生態鏈永續維持，並提供國人安全可信賴的數位基礎環境。