主計處擔任了政府外部稽核單位的角色,行政院主計處電子處理資料中心主任劉勝東提到,過去網路還不發達,資安談的都是軟、硬體的安全、控管,但現在除了以前的安全問題,還要多考慮到網路上外在環境的影響,各種網路漏洞、病毒、駭客、社交工程、網路詐騙等,都是來自外部的互動,必須要考慮對應的防護。
除此之外,主計處也擔任了政府採購把關的工作,以現行採購法看來,劉勝東認為現行的採購觀念還不夠好,讓公務人員在執行上有些放不開,以國外的做法看來,如美國、新加坡等的資訊採購方式,都是以「材料」加上「工時」的計算方法,如果在採購的時候沒有做好系統分析,確認需求,此後就會不停的更動,但是現行的政府採購法多是針對資訊硬體採購,很難套用在軟體應用上,一旦出現變更需求,便容易造成糾紛,因此在合約上都需要清楚描述功能與需求,只是現今的採購法令合約往往都對廠商不利,例如開發一個系統,談到後來通常又會增加需求,造成工時增加,但採購價格卻依然只是當初的低價標,如此一來只會壓縮廠商的生存空間,並且造成後續驗收的問題。目前政府採購法是由行政院公共工程委員會負責,以此看來,政府採購法似乎還有些可討論的空間。
當然,他也認為資安預算並不是無上限的,剛開始發生問題時會比較花錢去進行持續改善,改善到一個程度之後威脅會降下來,降到某個時間點後又可能會出現新的科技、新的問題,而資安有點像是交通問題起起伏伏,並不會讓人人都滿意,但還是要持續改進,資安並不一定要花大錢,但可以透過嚴謹的資安政策規範來做到,因此資安政策是很重要的。
並且,他提到未來趨勢應該是集中化,例如以部會為中心,整合資訊中心便能統一統籌規劃網站,對安全來說,政府對外的出口變少了,對安全的控管也會更加嚴密,以成本來看,將一些小的單位併到上級機關,採購的時候也會具有規模經濟的效益。此外,軟體開發也應走集中化,例如採購委外開發時盡量選擇服務導向的架構(SOA, ServiceOriented Architecture),開發元件可重複使用或共用,採用不受作業平台限制的元件、採用標準語法等,都可以提高軟體存活度,以持續改善的概念節省成本,而不是每次開發都要整個大換血。
| 產業聲音 政府資安工作、政府採購篇 |
英國標準協會(BSi)台灣分公司 教育訓練部協理蒲樹盛:
許多政府單位推動資安最大問題就是不知道自己最根本的問題。覺得問題很多,但不知道最根本的問題是什麼。選擇最優先的來做,集中資源解決。並且應從跟民眾有關的IT服務開始思考規劃。此外,許多人常說資安難推是因為管理階層不支持,其實是管理階層根本不知道問題,IT人員應掌握機會多與高層溝通使其知道問題。
現在IT委外的比例佔很大部分,例如系統委外開發,但承辦人員卻沒有評鑑委外廠商與品質的能力,導致若有應用系統漏洞、網頁漏洞的問題時,無能為力。建議設立「國家級資安檢測中心」,集中資源請專家來看委外程式品質問題。
趨勢科技台灣區總經理 洪偉淦:
政府或企業一遇到資安問題都急於掩蓋起來,但透過通報機制,政
府本身應公開講出來。政府的態度、民眾的態度,可逐漸影響大眾對於受「駭」的觀念,讓受害者願意「出櫃」報案。系統被入侵並不可恥,只要有完善的危機處理SOP。而法規應該走在前面,例如規定系統被入侵應該通知相關資料外洩的人員或客戶,否則沒有法規,大家也不敢坦言,只會否認。
認知仍應持續推動,企業主認知仍然不夠。政府提倡無所不在的U化城市,然而是否注意到安全威脅也更加無所不在。
關貿網路總經理陳振楠:
高階主管對資安認知不足,這幾年下來仍然沒有明顯改變。不只高階主管,應對所有政府公務人員進行個資法條文說明的宣導,使公務人員了解謹慎處理民眾個資的重要性,畢竟政府單位是所有民眾個資的擁有者。
政府IT委外程度高,然而承辦單位對於資服廠商需制定一套資安政策來稽核管理駐點人員的行為,否則一旦出了事情或導致重要資料外洩,很容易推諉塞責。
中華龍網總經理蔡銘桔:
對某些政府單位高階主管來說,已經不存在認知不足的問題,而是存在責任與數字問題。有沒有資安認知不重要,將IT工作委外比較重要,也把責任同時委外。可以交出漂亮的數字報告才是重點,例如阻擋多少病毒、阻隔多少攻擊、濾掉多少垃圾信等。似乎這樣就可以抵過被入侵以及資訊被竊的問題,就算有責任,也是執行委外管理廠商的責任。
此外,標案市場未能與國人自主研發的產業培植以及資安人才培育
同步進行,產官學的資源仍然無法結合,內需市場依舊疲弱,政府的運作仍舊是單純的壓低價格,視單一預算進行規劃,缺乏長遠的計畫。
中華數位總經理劉孟達:
鄰近各國政府均保護本地資安廠商, 尤其中國建立許多信息安全產品的認證門檻。韓國也有一套公開的資安產品認證系統,但以韓國防毒市場來看,幾乎7成都是內資企業。
台灣微軟伺服器平台事業部 資深產品行銷經理羅廷儀:
做資安不是只有抓病毒或不要開啟來路不明的信件,從上到下正確的資安認知宣導還需要再強化。台灣多數企業對資安的概念還停留在防毒、防駭客階段,以為只要建置防毒軟體、比哪家廠商抓得病毒多就是做到資訊安全。願意投資在整個IT架構上的安全還是有限。比如說,透過身分識別管理(IAM)來防止內部資訊外洩。 |