https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

中研院資訊科學研究所所長李德財 資訊應用成敗在「管理」

2004 / 11 / 12
林青蓁
中研院資訊科學研究所所長李德財 資訊應用成敗在「管理」

來到中研院資訊科學研究所進行採訪,一開始,李德財就提及日前鬧得沸沸揚揚的『百萬禮金贈巴國總統』的新聞事件,他認為,這就是「資訊」充斥於網際網路,再加上無論是正確的或是錯誤的資訊被轉述和濫用所造成的後果,同時,這也凸顯出目前國內對資訊之引用與管理不夠嚴謹,而且,利用錯誤的或未經證實的資訊,所帶來的問題要比「零」資訊更加可怕。
國內資安觀念認知不足
「其實,目前國內無論是政府單位或一般民眾,對於資訊安全的認知是相當薄弱,對於個人資料與隱私權的保護也不夠充足。」李德財不諱言地指出。

他舉例說明,在申請信用卡時,銀行都會要求申請民眾提供個人身分證影本,至於銀行對於身份證影本的管理方式如何,根本無從得知,其實,申請民眾在辦卡時,只要在現場核對身份,確認無誤後,就應該不需要再留下個人身分證影本的資料。

他同時指出,令人感到更荒謬的是,個人的電話通聯紀錄,只要能夠拿到身分證影本,連第三者都可以取得,而且,擁有個人資料的機構,也常因為管理不當,造成現在資料外洩問題其實是相當嚴重,不僅民眾深受其害,對國內治安也產生威脅,因此,政府應該要隨時提醒大家對資安的重視,並要建置良好的管理機制及建立資訊基礎建設,以維護資訊安全。

不過,另一方面,在對資安觀念認知不足的環境下,政府在政策推動上也面臨相當大的阻礙和困難,李德財就以「國民卡」及現行健保IC卡推動情形為例,這也是開啟他參與國家資訊安全政策規劃的起端。

政策推動成效繫於基礎建設
在1998年,李德財剛回國,那時政府正在推動國民卡計畫,社會上出現正反面各種不同的聲音,為因應立法院立委以及社會民間的要求,中研院資訊所於當年11月在台大法學院召開一場「國民卡相關技術與社會影響研討會」,汲取各界建議。

然而,由於當時政府與民眾對資料保全與管理等基礎建設仍未成熟,中研院資訊所當時也建議政府不宜貿然實施,最後,在無法取得各界共識下,對於這個政策,政府最後也不得不喊停。

至於在健保IC卡的推動上,李德財與資訊所同仁對於當時健保紙卡作業流程進行研究及分析,提出不少建議,並提出「紙卡加條碼」的替代方案,不過,政府以健保IC卡政策已經「箭在弦上」的情形下,仍舊依照原規劃進行,使得該政策最後只能被迫匆促上路。

然而,對於健保IC卡實施至今的成效,「現在健保IC卡上的晶片內容,所建置的也只是簡單的民眾個人資料,讓民眾在看病時,有個看病紀錄,而且,實際上,健保局並沒有因使用IC卡而達到當初規劃可以減少醫療資源浪費的效果,反而因為讀卡機等實務操作問題,增加醫療院所的作業成本,造成資源浪費,甚至就連健保資料外洩的問題至今依舊存在。」李德財也毫不保留地說。

由基礎教育推動資安觀念
事實上,目前國內民眾對於個人資料之保護、隱私權保護仍然沒有足夠的警覺意識,對於資訊安全認知也是明顯地不足。至於要如何改善這種情形,李德財則強調「應由基礎教育著手」。

李德財指出,各單位或企業取得BS7799認證是必要的,但是,能夠取得這項認證並非就代表該單位或企業的資訊安全是無虞的,因為有許多人對BS7799認證仍是不了解,不僅企業員工本身不知道,可能就連高層管理階級主管也不清楚,因此,管理階級主管和員工平時就必須接受資安教育訓練和演練,就像從事消防演練一樣。

為了能夠全面推廣資訊安全教育,中研院資訊所也向國科會提出了成立「資通安全研究與教學中心」之規劃,初步規劃在北、中、南設置的研究與教學中心,除了從事研發,自行開發資安相關軟硬體以外,並舉辦研討會與開設訓練課程,開放給各界人士參加與培訓,藉此培養資安人才。初期規劃由政府出資,同時希望企業界一起投入,使該中心能夠真正結合產、官、學的力量,發揮最佳的效果。」李德財表示。

政府應扮演推動資安重要推手
事實上,國內的資安業者是比較弱勢的一群,但是,資安產業卻是相當的重要,也相當具有前景,但是要能夠開花結果,這路途其實還很遙遠的,李德財說,要能夠成功落實資訊安全觀念,不單單只在技術面,也要讓決策者或是政府機關了解資安觀念的效益所在,並重視「風險評估與管理」的觀念,而且,資安的投資就好比是「健康保險」,在身體沒有罹患重病,需要面對可觀的醫療費用之前,就不會知道平日養生的重要性。

除了業者本身努力,組織資安產業聯盟,一起宣導資安的重要性之外,最重要的是政府的政策與配套措施,「畢竟資訊安全所涉及的並非只是一般商業行為,國家安全也是其中重要的一環,政府現在也越來越重視,這是個好的開始。」他明白地指出。

不過,相對於其他亞洲國家都有設置類似資訊部會,來專司科技資訊政策及業務,政府目前在制定相關的資訊政策時,主要由國科會、或是行政院科技顧問組負責,李德財認為,以目前的狀況來看,成立資訊部不太容易,如果在各政府部門設置資訊長職務,類似人事、財務一條鞭,可以在資訊業務委外的政策下落實專案之驗收及管理,為資訊應用軟體與系統之品質把關,同時也可藉此落實資訊安全管理。

管理落實才是資安成敗的關鍵
對於資訊科技所帶來的方便性,讓整個社會、或是世界造成相當大的變化,同時,也改變人類生活的方式及態度,身為科技人的李德財是相當能夠認同及接受,「但若是由執行面來看,不可否認的,有許多事情並非只是科技所帶來的方便性而已,這背後其實還有許多行政作業與管理的問題產生,若沒有妥善解決的話,科技卻可能帶來後遺症。」他表示。

李德財強調,執行是在於「人」,資訊安全執行也是在於「人」,許多資訊安全出現問題時,大都是由於人為疏失而造成,因此,就算是技術再好,一旦人在執行時發生失誤,結果還是會失敗,所以,管理層面的落實,建立「標準作業程序」並確實的執行,是相當重要的一環,也是資安成敗的關鍵。