臺灣資安主管聯盟會長金慶柏(左三)在行政院副院長鄭文燦(右四)和金管會副主委邱淑貞(右二)的見證下,與法務部調查局、警政署刑事局以及TWCERT/CC簽署【資安互助合作意向書】。

圖片來源: 

黃彥棻攝

因應資安威脅越來越複雜,集結臺灣各行各業資安長的「臺灣資安主管聯盟」也於日前舉辦會員大會時,代表157家會員、囊括25個產業,在行政院副院長鄭文燦、金管會副主委邱淑貞見證下,與法務部調查局、內政部警政署刑事局以及臺灣電腦網路危機處理暨協調中心(TWCERT/CC)簽署資安互助合作意向書(MOU)。

臺灣資安主管聯盟會長、也是華碩集團資安長金慶柏表示,臺灣資安主管聯盟的會員中,八成是上市櫃公司,而ICT高科技跟金融金控公司約佔65%,年營收超過十二兆元,聯盟自成立以來,積極扮演政府和企業雙方的溝通平臺,也配合政府推動產業相關的政策,獲得政府部門的支持與重視。

金慶柏指出,此次透過和合作單位簽署合作意向書後,未來不僅可以分享更多企業資安防護經驗,也可以透過公私協力的方式,藉由與合作單位的協助,便可以更有效因應各種網路犯罪帶來的挑戰,進而保護企業資產、降低駭客入侵或勒索軟體綁架資料的資安事件發生頻率,也可以做到加快相關案件處理的速度並減少作業成本。

面對駭客攻擊,資安長們應該抱團對抗

金慶柏表示,現在的網路攻擊已經形成一個生態系,有許多駭客更推出「勒索軟體即服務」(Ransomware as a Service)的攻擊態樣,讓他深知,當企業面對各種網路攻擊時,只靠個別企業單打獨鬥是不足的。

他也說,從過去的COVID-19、烏俄戰爭到以哈戰爭的經驗,都讓我們了解到「大軍未至、情資先行」的情資重要性,從中也體認到,資安已經是每個企業、每個組織營運持續管理(Business Continuity Management,BCM)和ESG中非常重要的環節。

金慶柏認為,這也意味著資安主管所需要擔負的責任範圍更廣,也必須投入更多費用,在需要了解的資安相關技術上。「這是一種危機、也是一種轉機,也是一種商機。」他說。

從2000年回臺灣工作以來,金慶柏看到政府每四年都會規畫新一期的資通安全發展方案,擔任公司資安委員會成員時,也會把政府的規畫,作為民間企業規畫的參考依據。

他認為,臺灣政府很早就關注資訊和資安的發展,積極透過公私協力的方式,整合政府和民間的力量做資安。

金慶柏說:「資安就像是下水道建設,很重要但外界不一定看得到。」因此,所有的資安規畫,都必須更有遠見的一步步施行,畢竟,「資安長就是讓長官在晚上可以睡好覺的人。」他表示,一個人走的快、一群人走的遠,透過籌組臺灣資安主管聯盟,就是希望可以保護臺灣,透過公私協力的方式,讓臺灣企業都可以平安獲利且做到國際合作。

金慶柏指出,臺灣資安主管聯盟在過去一年半來,也向政府提出一些建言獲得採納,包括:資安投資抵減的建議,透過三年的試行,企業可以獲得3%至5%的減免;其次,如果企業因為勒索軟體而支付贖金,這也可以在企業財報上做抵減。

他說,近期的建議則是希望政府部門也採購一些重要的情資,評估將相關的情資分享給企業的資安主管,以及若因為企業發生資安事件而必須報案時,是否有單一的報案窗口,提高報案的效率。

透過公私協力,提升機關企業的資安防護能力

鄭文燦表示,金管會在2020年通過金融資安行動方案,並在2021年修改內稽內控準則,要求企業要通報資安事件,也規定一定產業規模以上的企業,必須設置資安長。

而臺灣資安主管聯盟於2022年4月成立後,也和金管會、數位部等多個政府部門互動密切。而目前與資安相關的法律有規範公務機關和特定非公務機關的資通安全管理法,以及有處理個資的企業則受到個人資料保護法的規範。所以對於企業遭遇資安事件時,也有規範一定的通報應變處理流程。

因此,他認為,政府和企業面對資安這個領域,應該是要攜手合作,並建立一定的程序標準,例如,數位部就針對行動App和物聯網等項目,制定了相關的認證標準,有一些甚至已經列入國家標準。

資安相關領域的變動快速,鄭文燦表示,有鑑於資安相關領域的變動快速,鄭文燦表示,其實資安是需要不斷更新的專案,所以資安不止有價,還需要定期的維護更新。

他特別強調,許多機關、企業都有所謂的駐點人員,但都無法取代機關或企業內部資安長的角色;機關、企業本身對於資安的投資更是要不斷增加,才能夠去面對這個不設防網路世界的風險,建立防護盾牌。

面對資安人力不足的問題,鄭文燦表示,政府希望將資安人力做成從中央到地方的一條鞭制度,並提供一定的資安專業加給留住人才,避免被輕易挖角,調查局和刑事局則提供更多設備和人員訓練,提高科技辦案的能力,進而找到這些資安事件背後的網路犯罪組織,協助維護政府和企業的資訊安全。

臺灣是亞太地區遭受網路攻擊排行第一名的國家,因此隨時都要面對各種類型的網路攻擊事件,鄭文燦認為,只有透過更多的交流,才能夠有助於提升機關和企業的資安防護,而臺灣資安主管聯盟也可以透過和調查局、警政署以及TWCERT/CC簽訂資安互助合作意向書,讓臺灣的資安長們藉由分享各種防護經驗,提升資安能力。

熱門新聞

Advertisement