https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

新國會、新政府的期許

2008 / 09 / 05
編輯部
新國會、新政府的期許

3月,島內大事─總統大選後,期待新國會、新政府的出現,能為沉悶了4年的資安環境注入新希望、新風貌。

基於長期關注國內資安環境的媒體,我們明白所有資安事件與亂象若非得到政府重視並投入資源從根本做起,改善成效有限,只治標不治本,因此再次提出一些急待改變的大政策:

成立專職的科技部
進入新的世代,政府對科技運用的深度,在在影響運作的效能,長期政府對資訊應用仍停留在早期的資料處理層級,人員職位低、出缺不補的現象,窄化科技運用的深度與靈活度。
科技相關行業是台灣新的一股國際競爭優勢,但是長期來,我們缺乏一套科技產業政策,取代目前的短視科技輔導手段。專職的科技部門,才有專職的資安政策推動力量,國內資安問題一直停留在呼口號的階段,缺乏前瞻性策略、大刀闊斧的推動。

制訂資安相關法條
觀諸海外各國,遠從歐美乃至鄰近的韓國、日本,任何資安政策的落實,法條的強制要求才是有效依靠。因民眾個資外洩導致詐騙事件不斷而備受矚目的個資法修正案,去年底又未能趕在立法院休會前通過,更別說期待如前文所提美國沙賓法案那樣進步立法的制定。以國內的生態,需依靠公部門主動提出相關法條,強力運作,並據以逐步由主管機關要求推動。

成立網路維安隊伍
對外,我們的實體國境有天然屏障外人不易進出,但是虛擬國境竟然任外人自由出入,公部門甚至軍事單位的資料被竊,民間的重要研發資料被竊。
對內,上Yahoo拍賣被詐、電視購物被詐、網路銀行存款被竊,年來的駭客攻擊,已經正式邁入攫取不法利益的大方向。
攸關民生的重大關鍵基礎設施,如何確保不被攻擊癱瘓?在網路世界科技日新月異的現實下,無法期待各單位能有足夠能力及人力自保。唯有成立專職防禦隊伍,時時巡守,確保網路世界,是有政府存在的。

明確資安議題的主管機關
前陣子Maxtor磁碟機裝機後自動連線北京,該由哪個主管機關出面認養?上Yahoo拍賣被詐,哪個機關該主動出面?東森購物資料外洩,誰該主動出面找出出事原因?如何保護幾百萬電視購物的民眾?如何避免其他公司發生類似事件?目前都是呈現無主狀態,政府在哪裡?

推動國家級標準
資安的產品與服務,除了肩負安全防範的職責,必須經過國家的檢驗及認可,諮詢服務的單位與公司一樣需管理。目前我們雖然有部分的單位負擔部份的業務,但是寬度與廣度仍嚴重不足,宜速擬定一套管理辦法,編預算快速落實(本應逐步落實,但拖了一段時日,現在需追趕)。

落實稽核
明確定義資安的相關主管機關後,如何培育必要人力,切實稽核督導相關工作,方能依既定方向,找出問題、修正問題、再落實政策。

自主資安實力
資安的具體防禦動作,都在看不見的地方(系統內、網路上),牽涉國家安全的,應該培養自主實力,資安實力的培養,無須太多經費,如何拉拔國產資安能量,無論設備、服務、諮詢顧問,都該是培養目標。

人才養成
有了以上的每一個動作,自然出現龐大的資安人力需求,並且層面寬廣,舉凡諮詢顧問、各式資安技術人才、鑑識人才、法律人才,無論學校教育、或社會人士的再教育,自然蓬勃發展,無須政府再煩憂,由市場自然供給。

新採購觀念
資安產品的精神為服務,類似軟體採購。目前的採購法只能採買標準化的硬體,對於看不到、專業化程度極高的資安服務,極不適合。除了修改作法外,仍需教育廣大社會大眾:智慧有價、服務有價。

明確資料保護的職責
關於資訊化的資料,目前普遍的錯誤現象:找資訊人員負責,從而將資安議題直接歸給資訊人員。這是資安悲慘宿命的根本,資料的使用是別人、資料的管理職責是別人、資安政策的落實非資訊人員的權責。我們應該重新釐定:資料的擁有者、使用者應負保管的職責,資訊人員則扮演技術支援的角色。當資料擁有者直接肩負保管責任,才能期待不需要的資料不多拿,拿到的資料權力守好。

國內資安、資訊病灶已久不易痊癒,身為一份媒體,只能將觀察所得化為建言,聊盡一份社會責任。企業資安若做的好一定是得到在上位者大力支持,放大到國家來看亦然,此刻,左右台灣未來發展的新國會、新政府即將出爐,期待讀者擴大傳播範圍,一起影響週遭人們,一起加油。