中研院資訊科學研究所所長李德財 資訊應用成敗在「管理」

來到中研院資訊科學研究所進行採訪，一開始，李德財就提及日前鬧得沸沸揚揚的『百萬禮金贈巴國總統』的新聞事件，他認為，這就是「資訊」充斥於網際網路，再加上無論是正確的或是錯誤的資訊被轉述和濫用所造成的後果，同時，這也凸顯出目前國內對資訊之引用與管理不夠嚴謹，而且，利用錯誤的或未經證實的資訊，所帶來的問題要比「零」資訊更加可怕。
國內資安觀念認知不足
「其實，目前國內無論是政府單位或一般民眾，對於資訊安全的認知是相當薄弱，對於個人資料與隱私權的保護也不夠充足。」李德財不諱言地指出。

他舉例說明，在申請信用卡時，銀行都會要求申請民眾提供個人身分證影本，至於銀行對於身份證影本的管理方式如何，根本無從得知，其實，申請民眾在辦卡時，只要在現場核對身份，確認無誤後，就應該不需要再留下個人身分證影本的資料。

他同時指出，令人感到更荒謬的是，個人的電話通聯紀錄，只要能夠拿到身分證影本，連第三者都可以取得，而且，擁有個人資料的機構，也常因為管理不當，造成現在資料外洩問題其實是相當嚴重，不僅民眾深受其害，對國內治安也產生威脅，因此，政府應該要隨時提醒大家對資安的重視，並要建置良好的管理機制及建立資訊基礎建設，以維護資訊安全。

不過，另一方面，在對資安觀念認知不足的環境下，政府在政策推動上也面臨相當大的阻礙和困難，李德財就以「國民卡」及現行健保IC卡推動情形為例，這也是開啟他參與國家資訊安全政策規劃的起端。

政策推動成效繫於基礎建設
在1998年，李德財剛回國，那時政府正在推動國民卡計畫，社會上出現正反面各種不同的聲音，為因應立法院立委以及社會民間的要求，中研院資訊所於當年11月在台大法學院召開一場「國民卡相關技術與社會影響研討會」，汲取各界建議。

然而，由於當時政府與民眾對資料保全與管理等基礎建設仍未成熟，中研院資訊所當時也建議政府不宜貿然實施，最後，在無法取得各界共識下，對於這個政策，政府最後也不得不喊停。

至於在健保IC卡的推動上，李德財與資訊所同仁對於當時健保紙卡作業流程進行研究及分析，提出不少建議，並提出「紙卡加條碼」的替代方案，不過，政府以健保IC卡政策已經「箭在弦上」的情形下，仍舊依照原規劃進行，使得該政策最後只能被迫匆促上路。

然而，對於健保IC卡實施至今的成效，「現在健保IC卡上的晶片內容，所建置的也只是簡單的民眾個人資料，讓民眾在看病時，有個看病紀錄，而且，實際上，健保局並沒有因使用IC卡而達到當初規劃可以減少醫療資源浪費的效果，反而因為讀卡機等實務操作問題，增加醫療院所的作業成本，造成資源浪費，甚至就連健保資料外洩的問題至今依舊存在。」李德財也毫不保留地說。

由基礎教育推動資安觀念
事實上，目前國內民眾對於個人資料之保護、隱私權保護仍然沒有足夠的警覺意識，對於資訊安全認知也是明顯地不足。至於要如何改善這種情形，李德財則強調「應由基礎教育著手」。

李德財指出，各單位或企業取得BS7799認證是必要的，但是，能夠取得這項認證並非就代表該單位或企業的資訊安全是無虞的，因為有許多人對BS7799認證仍是不了解，不僅企業員工本身不知道，可能就連高層管理階級主管也不清楚，因此，管理階級主管和員工平時就必須接受資安教育訓練和演練，就像從事消防演練一樣。

為了能夠全面推廣資訊安全教育，中研院資訊所也向國科會提出了成立「資通安全研究與教學中心」之規劃，初步規劃在北、中、南設置的研究與教學中心，除了從事研發，自行開發資安相關軟硬體以外，並舉辦研討會與開設訓練課程，開放給各界人士參加與培訓，藉此培養資安人才。初期規劃由政府出資，同時希望企業界一起投入，使該中心能夠真正結合產、官、學的力量，發揮最佳的效果。」李德財表示。

政府應扮演推動資安重要推手
事實上，國內的資安業者是比較弱勢的一群，但是，資安產業卻是相當的重要，也相當具有前景，但是要能夠開花結果，這路途其實還很遙遠的，李德財說，要能夠成功落實資訊安全觀念，不單單只在技術面，也要讓決策者或是政府機關了解資安觀念的效益所在，並重視「風險評估與管理」的觀念，而且，資安的投資就好比是「健康保險」，在身體沒有罹患重病，需要面對可觀的醫療費用之前，就不會知道平日養生的重要性。

除了業者本身努力，組織資安產業聯盟，一起宣導資安的重要性之外，最重要的是政府的政策與配套措施，「畢竟資訊安全所涉及的並非只是一般商業行為，國家安全也是其中重要的一環，政府現在也越來越重視，這是個好的開始。」他明白地指出。

不過，相對於其他亞洲國家都有設置類似資訊部會，來專司科技資訊政策及業務，政府目前在制定相關的資訊政策時，主要由國科會、或是行政院科技顧問組負責，李德財認為，以目前的狀況來看，成立資訊部不太容易，如果在各政府部門設置資訊長職務，類似人事、財務一條鞭，可以在資訊業務委外的政策下落實專案之驗收及管理，為資訊應用軟體與系統之品質把關，同時也可藉此落實資訊安全管理。

管理落實才是資安成敗的關鍵
對於資訊科技所帶來的方便性，讓整個社會、或是世界造成相當大的變化，同時，也改變人類生活的方式及態度，身為科技人的李德財是相當能夠認同及接受，「但若是由執行面來看，不可否認的，有許多事情並非只是科技所帶來的方便性而已，這背後其實還有許多行政作業與管理的問題產生，若沒有妥善解決的話，科技卻可能帶來後遺症。」他表示。

李德財強調，執行是在於「人」，資訊安全執行也是在於「人」，許多資訊安全出現問題時，大都是由於人為疏失而造成，因此，就算是技術再好，一旦人在執行時發生失誤，結果還是會失敗，所以，管理層面的落實，建立「標準作業程序」並確實的執行，是相當重要的一環，也是資安成敗的關鍵。