數位部預算被刪除四成、凍結二成,對政府資安預算分配和防護帶來重大影響,甚至是國安危機。
洪政偉攝
「資安即國安」這句耳熟能詳的口號,如今在政府包括數位發展部預算遭到大幅刪除與凍結的消息下,顯得格外沉重,許多政府部分重要機關的預算(包含資安預算)正面臨嚴峻的挑戰,許多規畫好的年度防禦預算遭到大幅度的削減,最高幅度甚至達到數十個百分比。
以數位發展部的預算為例,立法院就將預算刪除四成、凍結二成,直接影響了數位發展部的施政步調,更直接影響政府在資安領域的投入。顧問公司KPMG安侯建業顧問部營運長謝昀澤提出警示,「此舉無疑是為國家安全敞開大門,其後果可能不堪設想。」他坦言,這一決策除了可能令政府自身防護機制遭遇風險外,也對整個資安產業產生極大衝擊。
另有不具名資安業者表示,面對臺灣政府現有的資安人力不足,必須大量依賴各種資訊和資安委外人力輔助,此次的預算凍結,可能會影響到原先就已經不足的資安和資訊委外的預算和人力編制,甚至會出現「劣幣驅逐良幣」的後遺症。
另外,謝昀澤也認為,對於目前處於弱勢的資安業者而言,政府的每一項政策決定都直接影響著其生存與發展空間,未來,若政府不能及時補足資安防護的經費缺口,不僅可能引發大規模民眾個資外洩、重要施政系統癱瘓,更有可能讓臺灣在面對國際網路攻防戰時陷入被動局面。
資安防禦體系亮紅燈,國安恐現重大漏洞
面對現今網路攻擊技術日益進步與手段不斷翻新的現狀,政府與產業界如何協同合作,調整資安預算的配置,已經成為決定未來國家安全防線強弱的關鍵;從中央機關到地方政府,再到資安產業各環節,每個環節的連鎖反應都不容忽視。
謝昀澤表示,從政府機關的年度資安防禦預算到委外防護服務,再到新興科技研究的前瞻性佈局,資安業者正面臨前所未有的挑戰和壓力。他指出,資安即國安,當政府在重要國安預算上出現刪減,不僅代表現有的防禦措施將面臨風險,更可能引發一連串連鎖反應,讓網路攻擊者乘虛而入。
謝昀澤更是開宗明義地點出,資安預算的刪減與凍結,首當其衝的就是國家整體的資安防禦能力。他憂心表示,部分政府機關已經開始大幅削減原先規畫好的年度資安防禦預算,這意味著,許多原本應該進行的資安強化措施,例如老舊系統或防火牆的更新可能被迫暫緩。
他表示,這些過時的設備和技術往往存在較多的安全漏洞,容易成為駭客攻擊的目標;一旦更新計畫擱置,政府機關的資訊系統將更加脆弱,暴露在日益複雜和精密的網路威脅之下。
「這就像在戰場上,士兵的武器裝備老舊不堪,卻又沒有足夠的訓練面對新型態的敵人,無疑是『開門迎敵』,將國家置於極度危險的境地。」謝昀澤語重心長地說。
更令人擔憂的是,年度的員工資安訓練與資安風險應對計畫,也可能因此遭到擱置。謝昀澤強調,資安不僅僅是技術問題,更涉及到使用者的安全意識和應對突發事件的能力。
他進一步指出,倘若缺乏定期的培訓,公務人員可能難以辨識和防範最新的網路釣魚、社交工程等攻擊手法,無意間成為駭客入侵的幫兇;同時,風險應對計畫的停擺意味著,一旦發生資安事件,政府機關可能無法及時有效地應對,導致損失擴大。
謝昀澤以過去各國政府的案例示警,資安預算不足極易導致大規模民眾個資外洩、重要施政系統停擺、核心基礎建設遭駭客狙擊,甚至選舉計票系統遭入侵修改等國安等級事件頻繁發生。
「這些並非危言聳聽,而是根據過往經驗所提出的嚴正警告。」謝昀澤正色表示,一旦這些國安等級的事件發生,其造成的損失不僅僅是金錢上的,更可能動搖政府的公信力,甚至影響社會的穩定與國家的安全。
新興科技發展受阻,資安實力恐被國際拋在腦後
隨著科技的日新月異,生成式AI、量子運算、物聯網及5G等新興科技正以前所未有的速度發展,這些新興科技在帶來便利的同時,也帶來了全新的資安挑戰。謝昀澤強調,面對這些未知的風險,政府機關原本就應該投入大量的資源進行前瞻性研究,以確保能夠即時應對科技所帶來的資安威脅。
然而,當數位發展部的預算遭到大幅刪減,連帶使得政府對於新興技術的研究、標準制定與安全驗證等工作,都將被迫大幅延後甚至刪除計畫,這將導致相關的防禦機制無法同步發展,使得國家在面對新興科技帶來的資安威脅時更加被動。
他也舉例指出,國際間已經有駭客開始利用AI進行更精準的社交工程攻擊,或是藉由量子運算來威脅傳統的加密技術。他憂慮地表示,臺灣在這些前瞻性資安領域的資源本就相對有限,數位發展部的包括資安預算的縮減,勢必會進一步拉大與國際在資安實力上的差距。
更令人擔憂的是,資安預算的縮水,也可能導致政府無法及時導入新技術來強化自身的安全防護。謝昀澤比喻,這就像是駭客使用「人工智慧」的工具來發動攻擊,而我們的防護卻仍然停留在依賴「工人智慧」的階段,這將使得老舊的系統與架構面臨更高的風險。
在全球資安威脅日益複雜的今天,謝昀澤認為,政府若無法與時俱進地提升資安防護能力,無疑將使國家安全暴露在更大的風險之中。
產業監管力道減弱,醫療資安就是具體實例
數位發展部預算遭刪除、凍結的衝擊下,受到影響的不僅限於政府部門本身,連帶影響主管機關對產業的監督、稽核與管理能力。謝昀澤指出,政府在資安方面的預算投入下降,也會造成主管機關在執行相關任務時,面臨資源大幅縮水的困境。
謝昀澤以近期大型醫院遭到駭客大規模勒索造成醫療危機的事件為例,強調過去醫療產業的資安防護,除了依靠醫院本身投入之外,也非常依賴主管機關進行監督與補助。
如果主管機關的資安預算,因為直接刪除或間接排擠而減少投入,他坦言,這對於原本就已經脆弱的醫療產業而言,無疑是一個重大的打擊,對民眾醫療的隱私更是重傷,畢竟,醫療機構掌握著大量的病患個人資料和健康資訊,一旦洩漏,後果不堪設想。
他表示,主管機關若缺乏足夠的資源進行有效的監管和指導,將難以確保醫療產業的資安水準,而醫療系統的癱瘓,不僅會影響民眾的就醫權益,更可能在緊急時刻造成無法挽回的生命損失。由此可見,政府在產業資安監管方面的投入,對於維護社會的正常運作與民眾的生命財產安全至關重要。
同樣的道理也適用於其他關鍵基礎設施和重要產業,謝昀澤表示,像是金融、能源、交通等領域的資安穩定,直接關係到社會的正常運作和經濟的持續發展。如果主管機關因預算不足,導致無法有效履行監管職責,將可能導致這些產業的資安風險不斷累積,一旦爆發大規模資安事件,將對國家造成難以估量的損失。
預算刪減恐劣幣驅逐良幣,財畫法致重複投資各自為政
除了上述的影響之外,政府資安預算的刪減與凍結,也將對國內的資安產業造成衝擊。根據不具名的資安業者表示,臺灣政府現有的資安編制人力本來就處於不足的狀態,再加上今年預算刪除和凍結的影響,不僅原先的人力缺口將會擴大,連帶原本依賴資安委外和協防的委外人力預算也可能受到波及。
該名資安業者認為,這種情況可能導致委外廠商為了符合更低的預算,不得不降低服務品質,甚至出現「劣幣驅逐良幣」的現象。更令人擔憂的是,他也發現,為了節省成本,部分委外廠商可能會派遣經驗不足、但成本較低的無經驗人員來提供服務,這反而可能造成國家資安出現更大的漏洞。
該名資安業者認為,資安防護是一項需具備一定專業的工作,需要經驗豐富的專業人員,才能有效應對各種複雜的網路威脅。他認為,如果因為預算限制而降低了資安服務的品質,無疑是撿了芝麻丟了西瓜,最終將付出更為慘痛的代價。
此外,針對政府資安預算的分配問題,另外一名不具名資安業者認為,基於政府資訊系統向上集中及區域聯防的概念,無論從整體總成本或防禦綜效的角度來看,資安政策、制度及大型資安計畫,都應該由中央主管機關來統籌規畫與分配,地方政府則負責配合執行,比較能夠達到預期的防護效果。
該名不具名資安業者特別提到,如果依照立法院修正通過的《財政收支劃分法》(財畫法)進行資安預算的分配,可能會有過多的資安預算會由地方縣市政府主導,這樣很可能發生重複投資但又防護效率低下的情況,最終導致資源的浪費。
資安防護需要整體的協調與合作,才能發揮最大的效益,如果各自為政,不僅無法有效整合資源,反而可能讓整體防護體系出現漏洞。該名不具名資安業者認為,如何合理地分配中央與地方的資安預算,建立一個統一且高效的資安防護體系,是政府亟需重視的課題。
建立可被期待的資安施政指標,提升預算支用效益
面對資安預算縮減可能帶來的諸多風險,謝昀澤呼籲,對於政府機關資安預算的執行成果,應建立合理且可期待的資安KPI(關鍵績效指標)。他認為,這些指標應以民眾關注的角度著手,同時朝KEEP(Key-Point、Effectiveness、Efficiency、Participate)方向設計。
謝昀澤舉例說明,例如:可以設定降低特定產業個資外洩事件,或參與國際聯防取得情資,有效禦敵於境外的具體事蹟等指標,用以彰顯資安預算支用的實際成效。
他認為,透過明確的目標和可衡量的成果,不僅可以讓民眾了解政府在資安方面的努力與成果,也可以提高資安預算的執行效率、提升政府部門對於資安預算的重視程度,進而更有效地運用資源,提升國家的整體資安防護能力。謝昀澤表示,這也能讓民眾更直觀地感受到,政府在資安方面的努力和成效,也可以建立民眾對政府資安能力的信心。
政府資安預算的刪減與凍結,無疑將對國家安全造成多方面的負面影響,從直接削弱國安防禦能力、阻礙新興科技發展、減弱產業監管力道,也會衝擊資安產業發展,甚至會導致中央與地方資安防護效率降低等,每一個環節都可能成為國家安全體系中的脆弱點。
面對日益複雜與嚴峻的網路威脅,資安防護絕非一蹴可幾,更需要持續且穩定的資源投入。謝昀澤強調,政府應審慎評估:資安預算刪減可能帶來的嚴重後果,並重新檢視現有的預算分配機制,以確保資安防護工作能夠得到充分的支持。
如何真正落實「資安即國安」理念,為國家安全構築一道堅實的防護網,謝昀澤坦言,這是政府必須直面且無法迴避的挑戰,「一旦發生重大資安事件,所付出的代價將遠遠超過今日節省的預算,屆時後悔莫及。」他說道。
他也建議,政府應重新審視資安預算的重要性,加大投入力度,並建立完善的資安防護體系和監管機制,方能有效應對日益嚴峻的網路安全挑戰,確保國家安全和社會穩定。
同時,謝昀澤認為,政府也應該建立明確且可被期待的資安施政指標,將有助於提升預算執行成效,並增強民眾對政府資安工作的信任。畢竟,他說:「在全球數位化加速發展的今天,資安已成為國家發展的基石,任何輕忽都可能付出沉重的代價。」
面對看不見的敵人,謝昀澤認為,政府和民眾都應該保持高度警惕,並以前瞻性的眼光,為國家的資訊安全做好萬全的準備。
顧問公司KPMG安侯建業顧問部營運長謝昀澤表示,立法院大幅刪除政府預算的決策,除了可能令政府自身防護機制遭遇風險外,也對整個資安產業產生極大衝擊。
