圖片來源: 

HITCON

在國內疫情趨緩之下,今年臺灣駭客年會HITCON 2021於11月26日至27日舉行,與去年同樣採實體會議與線上方式同步進行,總統蔡英文今日(26日)也首次在HITCON企業場與社群場合一的大會致詞,除了鼓勵駭客社群與政府的合作,同時也揭露近期國內重要資安工作。

原訂8月底舉行的HITCON 2021,隨著國內5月中下旬疫情警戒至第三級,延至11月底,在國內疫苗施打與疫情控制下,這場年度重量級資安活動,仍能維持實體舉行,特別是在近期國際疫情又竄起的時局之下,相當難得。

HITCON 2021總召陳伯堯(Sean Chen)與鄭仲倫 (Mars Cheng)表示,本屆實體會議超過1,100人報名,報到率達9成,再次突破千人參與,並有更大規模國際合作,成為年底壓軸的全球實體資安大會。而且,這次活動不乏各國的資安研究人員參與,也有美國、日本、韓國等8國的政府與教育單位,介紹資安政策與技術,國內資安專家也暢談參與國際資安漏洞競賽,以及通報國際大廠產品漏洞的經驗。

HITCON 2021在本月26與27日連兩日舉行,採實體線上同步方式進行,現場實體活動1,100多人報名,在上午首場演講中,邀請到美國網路安全和基礎設施安全局(CISA)資深顧問Thomas R. Millar,說明近期美國的資安推動經驗與聯防的議題,特別的是,這是活動首日早上的第一場主題演講,並是以遠距視訊方式進行,而當時正逢美國感恩節夜晚。(圖片來源:HITCON)

加強政府與社群的深化鍊結,這幾年來國內已有不少行動,今日(26日)總統蔡英文與多位政府要員均出席台灣駭客年會HITCON 2021開幕式,顯示出對於國內駭客社群力量與資安合作的重視。(圖片來源:HITCON)

政府推動上市櫃公司落實資安,與社群及產業協力孕育人才

臺灣駭客年會除了向外拓展國際與亞太的關係,社群本身與政府的鏈結深化也是焦點。事實上,近年來,在全球資安攻防競賽的表現,HITCON成員屢創佳績,總統蔡英文曾接見並表揚,表示需加強臺灣頂尖資安人才培育,之前也曾出席HITCON企業場給予鼓勵。

26日上午,總統蔡英文在HITCON 2021現身致詞,在這次大會中,多位重要的國家資安官員也發表演說,如國家安全會議諮詢委員李漢銘、金管會資訊服務處處長蔡福隆,以及行政院資安處處長簡宏偉,都有專題演講,目的是促進資安社群、產業與政府合作關係。

在首日大會開場致詞中,蔡英文指出, 這些年政府推動「資安即國安」的政策目標,持續精進各項資安防護工作,現在邁向資安即國安2.0戰略

過去的資安即國安1.0戰略中,已經奠定了我國推動資安的基礎環境,包括制定與通過資安法,成立行政院資安處與資安電軍,而在2.0戰略中,強調資安防護的落實,以及公私協力,同時也著重於資安產業發展與資安人才培育。

蔡英文也說明最近政府一系列推動的資安相關工作內容,包括:正規畫成立專責機構負責數位發展,也就是,在2022年即將成立的數位發展部,並且,將轉為以資安產業貫穿六大核心戰略產業,讓每個重要產業都要導入資安。

對此,政府已逐步要求上市櫃公司揭露重大資安事件,必須在年報說明資安治理作為,同時將擴大要求,促使達到一定規模的上市櫃公司,需設置資安長或資安專責單位。

審視這些最新施行政策,目的是讓上市櫃公司為落實資安做好準備,其中的資安事件重大訊息揭露,已於今年4月正式施行,在年報中揭露資通訊安全管理的資訊,到了今年10月初,已經發布條文修正預告,預估2到3個月後將成正式規範,而一定規模公司設置資安長或資安專責單位,草案昨日才剛剛通過進入預告期

蔡英文強調,這些政策目標已很清楚,希望讓臺灣成為受到世界信賴的資安系統與產業鏈,如此一來,不僅可以保護國家資通訊安全,也能符合國際對乾淨供應鏈的要求,強化民主盟友的防衛機制。

另外,在資安人才培育也是重要議題,政府除了從校園、產業來強化人才培育工作,預計在數位發展部下新設置資安卓越中心,將培養頂尖實戰資安人才。

對於HITCON社群的發展,蔡英文也深表認同,她表示,政府資安工作的推動,台灣駭客協會這樣的社群是重要的一股力量,也是推手,十幾年來持續致力於技術人才的專業發展,未來政府也強持續強化與民間合作的力量。

在大會首日上午的一場主題演講,國家安全會議諮詢委員李漢銘也談到國家資安政策,以及人才的議題。他表示,25日公布的上市公司新要求中,預計明年底就有數十個破百億的上市公司,需設置資安長與兩個資安專職人力,而這其實是討論已久的議題,隨著各項基礎政策的逐步推動, 現在開始變成實際的要求,他還提到,2023年有賺錢的上市公司也都要設置資安專職人力,如此算來,預計市場上會需要2千個資安人力。

然而,落實資安非易事,隨著人力需求創造出來,人才如何擴大供給,仍是國內環境面臨的重大挑戰,畢竟,在資安法的要求下,現在公務機關的資安人力的達成率,雖然還在提升,卻仍有3成以上缺口,而未來國內半導體的人才缺口也大,因此要與教育部、經濟部等部會通力來因應,同時也必須結合產業與社群方面的合作,培訓更多資安人才。

他在這場演講中也透露,政府將推動資安產品的投資體檢等新政策,經濟部很快就會公布。

國家安全會議諮詢委員李漢銘指出,隨著資安需求大增,但國內資安人才供給遠遠不足,甚至政府機關都面臨資安長將多於資安專責人員的窘境。因此,除了仰賴社群與專案計畫培育頂尖資安人才,普遍的資安人力荒是政府要跨部會合作,並與社群與產業協力因應。(攝影/羅正漢)

加深國際合作,探討更多元、豐富的資安議題

這次大會活動,除了與去年一樣,維持線上活動、線上觀看,讓海外關心資安的人士也可連線參與,HITCON 2021總召陳伯堯表示,這次大規模的國際合作是最主要特色,有美、日、韓等8國政府與教育單位,介紹資安政策與技術。

例如,上午首場主題演講,就是美國國土安全部網路安全暨基礎安全局(CISA)資深顧問Thomas R. Millar的演說,說明近期美國的資安推動經驗,包括如何對抗與打擊勒索軟體,成立StopRansomware.gov網站,以及提供資安不良實踐(Bad Practices)計畫,從負面教材提醒組織,勿犯相同的錯誤;他也談到持續發布的示警資安公告,以及在網路安全評估工具(CSET)中新增的勒索軟體攻擊自評模組等,並介紹亞太區域安全的協同合作;日本經產省IT計畫辦公室主任Toshikazu OKUYA也談到現在的Society 5.0政策,以及Cyber-Physical System(CPS)框架的推動與開發。

特別的是,此場遠距視訊現場演講的時間,是活動首日早上的第一場主題演講,也就是臺灣時間是在26日早上,當時正逢美國感恩節夜晚,也是當地民眾舉家團圓之際,卻特地透過網路視訊來發表演說,顯示美方對臺灣舉辦的這項國際性社群活動的重視。

HITCON今年的分場演講,涵蓋的資安議題相當豐富,而且能縱觀全局,大會區分出多種資安當前發展的重要主題,像是:國際聯防、軟體漏洞研究、新資安威脅趨勢、惡意程式技巧、資安教育、COVID-19、威脅分析與APT研究、金融資安,還有隱私、工控ICS、Car Hacking與IoT等面向,每類都有2到3場的專家主講。

同時,這次大會活動上,重頭戲不只多場資安技術議程,還有資安高層策略分享,陳伯堯表示,這樣資安高層圓桌論壇,多年前的HITCON大會也曾經舉辦,今年再次舉行並涵蓋3大主題,包括金融科技、CISO及智慧製造領域,促進更多經驗分享。

另外值得關注的是,這次大會還有幾個全新特色,也創造了更多與會者的互動。例如,本次大會與104人力銀行合作新創媒合平臺,增進求職者與企業在資安領域的接觸。

現場還有產業面的合作,聯發科技與科技部前瞻資安計畫合作,舉辦硬體解析的工作坊,讓大會現場參與者能實際動手學習,探索韌體的資安問題,以及瞭解軟體自動化安全檢測技術。在兩年前HITCON社群場上,當時的電路板識別證挑戰活動,就隱含注意TrustZone實作的概念,今年則透過工作坊形式,讓大家接觸更多硬體安全議題;鴻海研究院也舉辦車聯網相關論壇,並講座探討車聯網安全。

此外,除了延續去年的煉蠱大會、HITCON Village活動,HITCON Online虛擬會場也再次登場,並有駭客貓歷險記,以及駭客喵喵&駭客貓行動的互動遊戲,讓一些參與者也能從樂趣中接觸資安。

在多項議程之外,HITCON 2021現場還有各式活動,今年與產業合作新舉辦的硬體解析工作坊,帶來了硬體安全與軟體自動化安全檢測的技術認知與實作,讓與會者能夠從實際操作過程中學到觀念。(攝影/羅正漢)


熱門新聞

Advertisement