對於全球所有國家而言,資訊安全都是至關重要的一環,臺灣更是如此,雖然資安的重要性,大家現在都有深刻體認,但事在人為,若要做好各個層面的資安,仍須有「人」來落實與推動,因此,資安人才絕對是促成資安的重要關鍵。
資安人才備受重視之際,臺灣資安大會連續兩年,舉辦了Cyber Talent資安人才專區的活動,讓資安新鮮人,或是對資安有興趣的人,甚至是即將畢業的學子,都能更容易找出自己的發展方向。
例如,藉由數十位資安職場上的專家,帶來資安職涯的經驗分享、資安人才成長的攻略盤點、資安能力養成的心法,以及資安產業趨勢的剖析。
今年還新加入資安證照日的活動,ISIP教育部資安人才培育計畫也一同舉辦活動,邀請出身自AIS3與臺灣好厲駭的校友,暢談資安職涯的心路歷程。
這些難得的知識與經驗分享,無非是要讓資安新血成就未來人才時,可廣泛從興趣、心態、專業技能與產業概況,更好的去考量自身發展。
同時,現場不只上述內容,還包括職能培訓資源、資安人才交流,並有多家業者舉著徵才的大旗,不只是資安業者,還有科技業者、金融業者,都希望在這個臺灣最大的資安展會上,招兵買馬,希望補足自家的資安人才缺口。
不只是需求面,從供給面來看,我們也注意到,今年4月,推動國內資安人才培育的面向,有了新的動作。例如,教育部在他們推動的先進資通安全人才培育計畫中,發展出「臺灣資安職務地圖」新興資安產業版的項目,這是屬於「資安產業媒合與校友追蹤服務」子計畫的一環,其目的是協助此領域的求職與求才,希望補足以往資安領域職能發展的落差,建立更好共識,讓業界與學術界合作一起培養人才。
顯而易見的是,政府正在持續擴大推動資安人才的培育計畫,而國際上,2019年美國NIST正式發布NICE網路人才安全框架,設法描繪各種資安工作角色的最低資安技能要求,如今,我國也希望讓不同資安領域人才的培育,可以更有系統性。
但是,如何讓各界可以更深刻地關注資安人才重要性,以及了解資安人才急迫性這件事,我們認為同樣至關重要,因此,我們今年在臺灣資安職務地圖手冊推出之際,也詢問了國內專家學者的觀察與看法,希望讓各界都能體認到,資安人才是多麼重要,以及資安人才培育上的多種見解。
「 人」是資安最重要的關鍵
資安工作的推行,人人有責!「資安是每一個人的責任,這與現在談疫情的狀況很相像,威脅容易擴散,但預防成本很高,企業與政府的責任也相當重大。」國安會諮詢委員李漢銘語重心長地表示。
近年資安的重要程度,已經上升到國家層級,自從我國政府2017年發布「資安即國安」戰略,在在說明:位於民主前緣的臺灣已是國際資安攻防熱區,資安是無可迴避的嚴峻挑戰,但也是臺灣產業發展的絕佳機會。
2021年政府繼續推動「資安即國安 2.0」,我們不僅從政策推動資安,強化國家與社會安全,同時也將目光放向資安產業的推動,藉此厚植國內資安實力,近期還有更多促進企業資安落實的政策,像是上市櫃公司設置資安長、專責主管與單位等。
然而,這些重要工作的背後,都需仰賴資安人力與人才,才能延續國內的資安防護能量與優勢。
面對國內資安人才議題,趨勢科技臺灣區暨香港區總經理洪偉淦特別提及俄烏戰爭的影響。他認為,2022年初發生俄羅斯進軍烏克蘭的戰事,不僅揭示新時代戰爭的樣貌,也說明網路威脅作戰方法的重要性已大幅提升。
俄羅斯不只展開陸海空軍事行動,在網路上也發動DDoS與各種入侵攻擊手法,企圖讓對方關鍵基礎設施(CI)崩潰,同時,兩國也積極發動認知作戰,烏克蘭必須強調俄國暴行,俄國必須強調攻擊行動順利及將入侵合理正當化。
洪偉淦強調:「從種種虛實整合的攻擊態勢來看,我們可以發現,網路行動的成本很低,效果卻很大,而我們更該反思的是,過去政府都會重視陸海空的國防投資,但在網路安全層面的國防投資,是否合乎比例?」。更重要的是,這不只是需要對資安投入更多資源,也需要更多資安人才來做這件事。
就當前環境來看,對於政府與企業而言,隨著黑帽駭客的生態圈已經演化到非常成熟的程度,許多團體均懂得運用各種商業模式來壯大自己的規模,加上APT攻擊手法、加密技術濫用,以及虛擬貨幣的流行,再加上企業推動數位轉型,以及各國都在發展智慧城市、製造工廠、智慧醫療等各式議題,這也都意味著可受到攻擊的部分越來越廣泛,而隨著種種事件所帶來的衝擊越大,資安需求也就越高。
顯然,在此態勢之下,資安人才不僅重要,也是眾所關注的焦點,同時,也具有很大的緊急性與迫切性。
資安人才需求遍地開花,甚至希望從國外引進人才
事實上,我國政府這兩年來推動上市櫃公司設置資安長、專責主管與單位,資安人才需求大增已迫在眉睫。
現在臺灣的資安人才需求到底有多大?臺科大資管系特聘教授吳宗成表示:「資安演變至今,有理論型及實務型的資安,有政府及產業的資安,有技術、管理及法制的資安,有企業及個人的資安,雖非涇渭分明,仍是不一而足。」
要解決各式各樣的資安問題,必須有完整契合的國家型產官學研團隊作為後盾,其背後也就是各式各樣的資安人才。
再從威脅面來看,輔大特聘教授許見章教授同樣點出現今局勢,他說:「隨著新興應用與數位服務的不斷出現,新興的攻擊手法也隨之而來,但更關鍵的是,在軟體系統開發的面向上,還有很多是用傳統方式進行,造成開發的系統有很多漏洞,也產生了資安人才的需求。」
許見章特別舉例,從臺灣求才網站可以搜尋到上千個資安相關職缺,這呈現了產業的實際需求,未來還會有更多職缺。
而從國際上來看,真的是各界對於資安人才需求都極大,例如,美國陸軍在2022年8月底,也都宣布擴大招募網路作戰軍種,以抵禦外國政府透過網路發動的各式攻擊,當中需要非常多樣性的人才,其軍缺包含「網路及電子作戰官」、「網路作戰官」、「密碼情報分析師」、「網路防衛員」,還有「網路作戰專員」。
然而,有這麼多需求的情況下,也呈現出資安人才不足的情況。4位產官學專家都表示,這樣的情況並不只是發生在臺灣,全球都面臨相同的態勢。
因此,除了臺灣政府想要從國外引進人才,填補人才面的缺口,比臺灣先進的國家,也同樣想要引進更多資安人才,而這些需求現況,徹底反映現今資安人才的搶手程度。
這兩年來,金融與政府學校對於資安人才數量的需求持續擴大,去年平均現有資安人力已經來到9.5人與5.8人,今年新招募人數仍多,特別的是,一般製造業、高科技業、服務業與醫療業的人才缺口更高,今年預計平均新招募的人數比重高,都占現有資安人力7成以上,像是服務業就預計招募將近1倍的人力。
面對廣泛資安需求,資安人力培訓需要產官學合作
在資安人才搶手的同時,如何解決資安人才缺口的議題,也成為政府、企業都在重視的問題,長久之計在於建構培育資安人才的體系,而這也早已成為國家政策焦點。
儘管從7年前開始,教育部已持續推動「資訊安全人才培育計畫」,孕育頂尖資安技術人才,但如何滿足不同層面的龐大資安人才需求,是現今更大的挑戰。
挑戰有哪些?該如何因應?
論及資安人力培養目標,臺科大資管系特聘教授吳宗成指出,可分成下列三大類型:
第一種是「資安人手」,不論透過在學或在職教育,可透過標準程序方式來培訓;第二種是「資安人才」,對於沒碰過的問題,可以想方法去解決,但這就不是按表操課即能培養;第三是「資安人物」,這類型可引導研究議題,並引領人才去追循,但也更難培養。
再者,我們還要考量:是解決問題能力的人不足?還是執行資安工作的人不足?這會有不同方法與策略。
而為了因應不同的資安人才需求,吳宗成表示,如今邁入第七年的AIS3新型態資安暑期課程,對資安有興趣的學生越來越多,自第三年起,課程做了很大的調整,不像之前只是單純強調為了吸引學生興趣,著重於駭客搶旗攻防賽(CTF),現在也強調團隊合作、企業資安防護,以及各式資安專題研究。
輔大特聘教授許見章也指出,很多學生可能會問,修哪一門課對日後資安職涯發展有幫助?因此,我們需要了解資安人才分布與需求落差,並要了解每一種人才需要哪種技能與知識,才能有方向的知道如何培養資安人力。因此,他現在希望持續完備我國的資安職能地圖,讓踏入各種資安領域的人,都能盤點必要技能、職涯與職務。
更進一步來看,要對應整體「資安產業」及「產業資安」的需求,擴大培訓的層面與規模,這不只是單方面的責任。
國安會諮詢委員李漢銘強調,必須是政府、企業、學校、社群四者的通力合作,才能在資安領域培育出懂駭客攻擊的人才,懂防禦的人才,以及懂資安管理與規畫的人才。
事實上,不只是一些國內資安公司根據自身需求,開啟資安人才培育計畫,自今年開始,部分國內企業也同樣關切這方面的需求,希望聯合建立資安專責人員的培訓計畫,當中目標包括資安主管核心能力養成,以及專業資安人才培訓整備。
更特別的是,在一些關鍵領域,還會面臨不同的特殊挑戰,例如在金融、高科技、關鍵CI等,會需要具備相關領域Know How,因此不論透過在學或在職訓練,各方合作也將成為必然。
畢竟,學界所教,也要與業界需求能夠吻合,因此,除了資安攻擊技術研究,對於企業基礎設施、網路的了解,以及AD環境、虛擬機器VM操作,對這些駭客常攻打的標的也要熟悉,是現在更關切的議題。
當然,教育部在2019年也開始鼓勵4所大專院校,成立5個資安碩士班,後續,中山大學首先開設資訊安全碩士班,輔仁大學首先開設人工智慧與資訊安全學士學位學程。不僅如此,在這些資安領域當中,未來都需要創造一個正向循環的體系,才能確保資安新血的穩定輸出,能持續跟上市場需求。
從資安業者角度來看,趨勢科技臺灣區暨香港區總經理洪偉淦亦提出建言,利用紅軍吸引人才投入資安領域,階段性任務已經達到,不過,接下來我們需要更廣泛的防禦人才。
而且不只是上述層面,不同專業領域面向也有新的資安人才需求。例如,現在雲端架構與傳統地端環境不同,很多都是以API介接,而且,現在更強調Security as Code,因此,洪偉淦認為,未來雲端資安的人才,也要具備寫程式的本領,不見得是複雜的程式開發,但這樣的技能,日後有可能存在於很多資安職缺之中。
再從市場面來看,多位專家都提到,除了激起大家投入資安的興趣,在需求攀升之下,薪資提升也會是人才投入資安的一大動力,這是相當務實的情況。而在企業對資安的投入意願大增下,也將帶動資安產業的薪資結構發展。
由此來看,對於想要從事資安工作的社會新鮮人,或是想要跨入資安領域的在職人士,資安工作的機會廣又多,除了在自身領域的持續專精,拓展跨域能力也是為自己加分的項目與機會。
非資安專業也能投身資安產業?
換個角度,在資安需求高漲之下,原本非資安領域的人,是否也有機會跨足資安領域?
以趨勢科技的經驗來看,除了企業本身需要資安人才,他們發展的資安產品也需要很多的研發人才──理解威脅的人要能針對防禦提出構想,設計成產品規格之後,也要有許多的RD研發人員、QA測試人員,才能將產品付諸實現,這些人才雖然與資安不直接相關,卻都是資安產業重要的一份子。
再以關鍵CI領域為例,這是維繫國家正常運作最重要的部分,但光靠學校培育出這樣的資安人才,實務上,並不容易做到,對於本身具備關鍵CI知識的人,跨入資安也將有很大的機會。
長期而言,具備跨領域的能力是大勢所趨,現在教育部推動高等教育的跨域學習,企業也很重視跨域人才。以金融業為例,由於這個領域需要懂業務流程、風險控制、稽核等,才能設計正確的資安流程與管理方法,因此,有金融業試著調動資訊團隊的人員去負責推動資安,透過輪調的方式,培養領域資安人才。
從一般企業的角度來看,近期也越來越重視跨領域人才的招募。以台積電為例,或許過去他們很重視技術本位,需要電子、電機、光電、機械、物理、材料、化工的人才,但現在甚至對於文科出身的人才同樣有需求。企業對資安人才的需求亦龐大,而且不僅是傳統IT資訊系統的資安人才,更要有對應OT工控系統環境的資安人才。在台積電公布的2021年報也呈現這樣的需求,因為這當中就揭露他們雇用超過500名員工,專門負責資安相關業務。
無論如何,資安人才需求與急迫性已經浮現,基於教育與學習的觀點,現在的家長應該也感受到這方面的需求,並逐漸認可這是現在與未來可以穩健投資的產業。
甚至,我們不只要有各方面的資安專業,全民都該提升資安意識。吳宗成強調:「隨著資安慢慢從早期的專業化發展到普遍化的地步,現在資安已經與生活密不可分,人人都應該要有生活化資安的認知跟體驗,因此。每個人都該要有資安的認識,這是最基本資訊的使用能力之一,而資安認識的教育也非常重要。」
培育多元資安人才已是大勢所趨
最後,從臺灣資安大會的資安人才論壇的經驗分享來看,我們可以看到,這些資安專家與從業人員,有的來自資安公司,有的來自產業,有的來自顧問服務公司,有的來自政府單位,他們從事的工作,涵蓋資安技術、管理或治理層面,亦顯示資安人才需求多元的現況。 而他們暢談與分享的這些經驗,其實也都是為了幫助國內資安人才的培育。無論如何,隨著政府大力推動資安及國安, 以及企業投入資安的意願大增,人才培育已是不容忽視的關鍵,產官學界如果能夠在實務面進行進行更密切的合作,提供更多學習與工作資源,勢必可以吸引更多人加入資安行列。
美國國家標準暨技術研究院(NIST)發布「NICE網路安全人才框架」,並推出NIST SP 800-181文件,當中結合「網路資訊安全教育國家計畫」(NICE),以及網路安全人力框架(CWF),描繪出各種資安工作角色的最低資安技能要求。
在之前發布的NICE框架中,已涵蓋7大類別,33個專業領域,畫分出52種工作角色,並定義4種與工作角色相關元件,包括930種任務(T0001~T0930)、374種技能(S0001~S0374)、628種知識(K0001~K0628),以及177種能力(A0001~A0177)。圖片來源:美國NIST
在教育部資安人才培育計畫的脈絡之下,由輔仁大學資訊工程系特聘教授許見章帶領的團隊,在今年建立臺灣本地適用的臺灣資安職務地圖,並以新興資安產業為起點,期望建構求才、求職共識,促進學界培養人才更符合實務需求。更多相關內容:●臺灣積極發展資安職務地圖,促進產官學溝通對焦,新興資安產業版首登場、●臺灣資安職務地圖-2022新興資安產業版
熱門新聞
2024-12-24
2024-08-14
2024-12-20
2024-12-22
2024-12-23
2024-12-23