國家層級的網路資訊戰持續延燒,如何在「網路戰」之下生存,是臺灣資安近期最熱議話題之一。 HITCON PEACE 2022(台灣駭客年會)以「網路戰生存指南」為題,首日及齊聚全台產官學資安決策者、近千名駭客及臺灣資安技術人員,匯集超過30篇最新資安研究及技術,共同探討網路戰爭脈絡之下的最新趨勢與技術。
HITCON 2022 開幕典禮嘉賓包含總統蔡英文、經濟部部長王美花部長、即將出任行政院數位發展部部長的政務委員唐鳳,國家安全會議秘書⾧顧⽴雄、李漢銘諮詢委員、中央研究院李德財院⼠及國科會、國發會、教育部等部會代表皆親臨現場共襄盛舉。今年臺灣駭客年會以「HITCON PEACE(Protect Enterprise And Citizens Ever-after)」為核心精神,蔡英文總統於致詞時表示,「期許駭客社群的文化及能量,可以持續守護社會和人民。」
蔡總統:產官學跨界提升台灣資安防禦及應變能力
總統蔡英文表示,俄烏戰爭揭露戰爭的新型態,混合實體軍事行動及資訊戰。「以混合戰的方式混淆群眾視聽,藉此進行認知作戰。」同樣的劇本在臺灣也同樣上演,中國持續派出軍機及試圖將軍演常態化,搭配在地協力者發布假訊息的混合戰略,在證實資安威脅已經無所不在,而位處美中局勢第一線的臺灣,「如何因應不同的資安漏洞,提升台灣資安防禦及應變的能力,持續強化國家資安的聯防體系,確保國家的穩定與發展,是我們目前的首要任務之一。」
蔡英文認為,資安產業發展是政府關注的一環,尤其應加強公私協力,發展資安產業,以及培育資安人才。在其「六大核心戰略產業」規劃中,要求各部會推動資安計畫,協助產、官、學、研及社群合作,如經濟部長期與 HITCON 合作,舉辦研討會、HITCON CTF、DEFENSE 等國際資安競賽,結合政府、企業、駭客社群等資源,共同培養臺灣資安人才,而這樣的產官學跨界的合作灑下的種子,在近年已陸續看到成熟結果。
駭客在許多公私協力的合作中嶄露頭角,用資訊專業向政府提出最有力的諫言,以資安專業,扭轉過往大眾對駭客們的錯誤認知。蔡英文表示:「我們看見了臺灣社群不斷地追求進步與成長,且逐漸蛻變成一股改變社會的力量,政府與駭客共同攜手守護臺灣人民與社會。」
左起台灣駭客協會理事長翁浩正、總統蔡英文、HITCON 2022總召集人鄭仲倫、副召集人顏珣
近40位產官學資安領導者加速共識
HITCON 今日舉辦高規格圓桌高峰會,包含政務委員唐鳳、將轉任數位產業署長的現任工業局長呂正華、國家安全會議諮詢委員李漢銘在內,共有近 40 位全台產官學重要人士同場交流,分別以「資安長(CISO)」、「智慧製造」及「金融」為題分桌討論並深度交流。
- 資安CISO圓桌:政府主導民間協力,共同強化資安基礎建設
近期烏俄戰爭的啟示,再次點醒關鍵基礎建設在戰爭中的重要性,對於攻守方,都一定是要拿在手中的灘頭堡,如能源電網、水庫、高科技業等八大領域。如何確保該實體基礎建設,能如IT一樣具備高可用及高擴充性,資安長(CISO) 責無旁貸。與政府同在一艘船上的私人機構,也是肩負著重任。相比公部門,私部門的營運,往往碰上更多務實面問題,包含營運不中斷、老舊設備維護更新的挑戰。
在這場需要政府、民間企業協力的賽局中,政府的角色在於建立有利資安發展的環境,包含法規政策的建立,深化全民資安意識的教育,同時,在人才教育面,政府作為領頭羊,從策略與管理、技術與法遵為核心,發展攻守兼具的資安人才永續培育計劃;而CISO作為連接政府及企業內部的橋樑,也需從組織文化、組織結構,將資安意識內化為企業DNA。唯有加強雙方溝通,縮短認知落差,資訊安全才能從口號落地變成實際作為,成為大眾生活的日常。
- 智慧製造:企業共組大聯盟,情資共享安全一起扛
以製造業起家的臺灣,逐漸轉向技術、資金密集的高科技製造,而資訊孤島、影子IT及供應鏈碎片化,對於企業營運主都不是個陌生的話題。當今製造業面臨的一大困難,便是IT、OT維運的權責模糊,起因在於生產大幅引進IT改善生產效率,導致OT及IT難以切分。大多企業主認定,須考量公司OT場域的數位化程度,分階段整合IT及OT。同時,加強IT團隊及OT團隊的水平溝通,結合雙方所長共同解決。
不僅企業內部OT、IT的串連,企業間的水平串連及共享資料,對科技供應鏈有核心地位的臺灣也很重要。今年4月時成立運作的台灣資安主管聯盟(Taiwan CISO Alliance),已經廣邀金管會所列的1500家上市櫃公司邀請加入,目前已經由81間公司,跨20個產業,希望透過情資分享的架構下,鞏固台灣各個產業的安全。
在當今供應鏈安規要求日益嚴格下,導入安規及法遵,對於小規模供應商而言,無論是成本或相關人才,都是個挑戰。為了共同打造乾淨供應鏈,大廠也應擔負起產業領頭羊的責任,輔助或者進駐小供應商取得認證。
- 金融資安:導入零信任機制,打造國家級防護網、用同業聯防抵禦極端情況
金融業近期的資安事件,引發對於金融資安韌性的資安討論的諸多討論,包含金融業雲端建置、備份方式,以及面對極端情境下,如何仍夠保全系統與資料等。
金融業資深資安主管對金融韌性的想法應該更為全面性,因應無法防範的天然災害或是極端情境,應有所以要有異地備援機制、且要有區域的規劃,不將資料存放於同一區域,甚至是可不存至國外。由於金融業為高度監管行業,其掌握許多敏感性個資,金融業未來如要讓資料備份上公有雲,除了資料去識別、資料備份外,也要多著墨資料主權(Data Sovereignty)等議題。
另外,金管會也希望能號召金融產業一起全面且階段性的導入「零信任」機制,對於身份識別、設備識別、外部登入授權、信任推斷等進行完整的架構設計及內部偵測,去分析可疑的情況並即時通報、阻擋。
除此之外,金融業也取得共識,希望打造國家級的防護網、同業聯防,由金管會帶頭打造一個虛擬的戰情室,彼此隨時更新狀況,同業之間快速相互支援及聯繫。且導入自動化的系統來監控,全面掌握狀況、隨時啟動防禦。