這一年來,在大眾媒體的傳播、政府宣導之下,民眾對資安的警覺與個資隱私的保護意識已逐漸提升。在接連幾起受矚目的網拍/網購、電視購物的詐騙事件之後,詐騙問題在十大民怨調查當中高居第二,民眾財產受到威脅。電話/網路詐騙問題與資料外洩有關,要徹底解決需要政府跨部會協調,在各部會努力之下已顯成效。不只詐騙事件問題,這段時間以來,政府資安工作的具體進展,包括過去最模糊地帶的線上購物/交易,已有經濟部商業司作為主管機關。而保障民眾個人隱私權益的個資法也已順利三讀通過。
圖:行政院政務委員張進福:每個人對於自己個人資料的保護,這個文化應該被建立起來
資安工作的推動向來不容易,在企業組織內需要各部門各司其職分頭進行,有專職單位協調統籌,並制定一套法規制度讓大家遵循,在國家機器底下要運作各部會共同推動資安,挑戰更高,需要高度協調整合的智慧。
負責國家資安政策的國家資通安全會報肩負關鍵任務,自民國90年開始歷經兩期(90~93年、94~97年)的「建立我國通資訊基礎建設安全機制計畫」,現為第三期(98年至101年)「國家資通訊安全發展方案」。在去年8月產業科技策略會議(SRB, Strategy Review Board)訂出「塑造資安文化、推升資安產值」的二大政策推動主軸並由各部會提出相關措施與行動計畫之後,現在政府資安工作已邁入另一重要階段。
從政府到民間 「塑造資安文化」
在即將出版的《2010資通安全政策白皮書》中,清楚指出接下來將以三大政策目標為重點方向:「提升網路環境安全」、「強化民眾個資保護」及「推動資安產業發展」,各部會列出15項推動措施及相關行動計畫。然而計畫需要預算才能實現,在科顧組的協調努力下,去年12月行政院已核定,預計4年內投入新台幣36億元於上述計畫中(見表1)。
背後推手行政院政務委員張進福表示,對於預算問題,第一年(99年)的經費可以透過行政院國家科學技術發展基金補助計畫啟動,然而接下來長遠發展仍有賴各主辦機關主動編列適足預算推動。因此,關鍵回到各機關首長是否體認資安重要性,在資源有限下願意將資源投到資安工作上。
計畫已訂,預算也有了,接下來端看各部會是否有足夠執行力,能從計畫、執行、考核、改善,以一個良好的循環將政策落實。
1.通報應變公私部門一同做 主管機關最關鍵
整體網路環境安全需要靠公、私部門共同努力。過去資通安全會報前兩期推動的重點放在行政機關本身的資安管理體質並建置行政機關的通報應變體系,以及要求A、B級機關建置資安管理系統並通過第三方驗證及建置資安監控中心(SOC)等,行政院研考會接下來將把重點放在協助政府資訊單位改善對資安產品/服務的需求品質,包括建立政府機關資安認驗證機制及推動公務人員資安職能訓練及評量機制。可以看出對資安的要求是先求有再求好,不只要有ISMS而是要能以核心系統為驗證範圍。
如今SRB會議後,相關部會開始要求所轄單位推動資安工作。包括電信事業主管機關──國家通訊傳播委員會(NCC)將推動電信事業導入資訊安全管理系統(ISMS)、與六大ISP業者建立資訊分析分享平台(ISAC)來串連電信事業資通安全通報及聯防能力,期望從源頭強化網路平台與傳輸服務安全,提升大眾對於資通訊環境的信賴度。同樣地,為了打造安全信賴的學術資通訊環境,教育部也持續推動教育體系資通安全管理政策、教育體系資安監控與分享機制等計畫。而台灣網路資訊中心(TWNIC)也將串聯各通報平台,為TWNCERT、TWCERT及其他CERT建置起橫向通報連結。
最難能可貴的是,過去網路世界沒有主管機關,民眾從事網拍/網購交易如遇糾紛被詐騙,甚至身分被竊取用來犯罪,過去總是求償無門。在行政院政務委員張進福的協調下,零售業主管機關經濟部商業司接下在網路世界的無店面零售業的管理監督職責,商業司也在SRB會議上對電子商務交易安全提出許多重要計畫。由此可見,在網路世代,各主管機關對於目的事業單位的管轄範圍應從實體世界延伸到網路。
行政院研考會由於資安工作推動較早,現在已經對行政體系做更進一步要求,而其他各部會能否有魄力的做出對的要求,更重要的是,有能力在PDCA循環當中去確實考核,並要求改善,而不只淪為表面工夫,接下來的計畫執行成效備受期待。
尤其,個資法後,各主管機關扮演更重要關鍵的角色,依法各主管機關可執行監督、檢查,未來所有單位不分行業別對於個人資料保護工作都需符合法規、依法行政。如何透過適當的法規機制或行政命令,要求所有機關改善資安環境,甚至進而帶動對資安市場的需求,將是一大挑戰。
2. 打擊犯罪有賴跨部會協調及民眾自我保護意識
行政院研考會、教育部、NCC致力提升公務部門、學術網路、電信等網路環境安全。而與民眾息息相關的個資隱私外洩、網路犯罪問題則涉及多個政府部門,需要跨部會籌組專案小組共同解決。
鑑於歹徒電話詐騙暨網路犯罪造成無辜受害者錢財損失,為了解決電話與網路詐騙問題,95年NCC與內政部成立「電信詐欺技術諮詢小組」,97年並邀集內政部、法務部、經濟部、交通部及金管會等機關,共同組成「防制網路犯罪技術工作平台」,協調整合跨部會功能,推動相關防制措施。行政院劉前院長及吳院長皆相當重視各項防治詐騙工作之推動,行政院自97年10月迄今共召集6次跨部會防治電話詐騙專案協調會議,研商網路、電信等領域新興犯罪的具體防範作為,包含導入資通訊科技精進165反詐騙諮詢中心運作效益、有效監督相關業者善盡社會責任、強化網路平臺及內容管理、提升電信交換機系統功能、訂定電信服務品質規格、ATM中英關鍵詞及警語之雙語提醒等。
在相關單位努力下,電信詐騙與網路詐騙案件數及財產損失皆已減少。根據內政部警政署刑事警察局調查,與去年同期相比,今年1月至5月電信詐欺發生數減少195件,網路詐欺發生數減少531件。為了更徹底解決此問題,接下來NCC將完成相關管理規則之修正,並擬具電信法相關條文修正草案;經濟部負責推動電子商務交易安全作業基準,並研議網拍賣安全機制;內政部推動有關提升基層員警偵辦電話詐騙技術能量;消保會也將研議協助電信消費被害者求償之可行性方案。
3.推動資安產業發展 宜廣納業界聲音
如前所述,法規是帶動資安產業發展的重要驅動力。而在國家資通訊安全發展藍圖中,也希望藉由環境面、人才培育等不同面向來打造資安服務業發展環境,包括建構產品認驗證標準與體系、資安技術研發及人才培育等。
在資通訊設備安全檢測方面,NCC扮演重要角色,將研擬符合國內產業需求之業界標準驗證技術、採購指引及獎勵措施等規劃,先試辦三年。依試辦階段之結果及實務經驗,檢討修正後,再擴大實施。具體計畫時程包含於100年9月前將完成技術規範及法規制修訂、100年11月前完成認可檢測實驗室。後續由經濟部標準檢驗局協助朝制定為國家標準努力。
而與產業息息相關的工業局「資通訊安全產業推動計畫」,過去此計劃較偏重實體安全監控產業,而預計在接下來8月即將展開的新階段中,將有以資訊安全產業為主的輔導計畫。包括兩大方向,其一與網站相關的輔導計畫,將先以線上遊戲業者為需求對象,為供需兩端訂定資通訊安全應用規範及技術架構,以擴大本土資安市場,預計首波可望受惠的將是身份認證及網站安全防護等兩大類技術解決方案供應商。其二是與行動應用相關的計畫,目前國內廠商投入此類研發的還不多,初期將鼓勵廠商往相關方向投入研發。
而經濟部技術處則有「新興資安關鍵技術研發計畫」、「雲端服務應用資安示範導入計畫」、國際大廠資安技術來台合作計畫等,以及行政院國家科學委員會啟動資安基礎研究、環境建置及技術開發應用相關計畫。教育部負責建構資安人才培育體系,鼓勵高教體系培育資安專業研究人力,建構技職體系資安人才培育課程,培育高級資安技術人才。
結論
綜上所述,政府資安推行至此,現在正是關鍵轉捩點。當預算核准下來,所有計畫同步展開時,其執行成果應公開受大眾檢視。產業對於政府政策多所期待,期望相關政策推動時能廣納產業聲音,以80/20法則,找對問題關鍵下手。資安工作,現需要公私部門一起做,相關資源陸續投入之後,能朝正向循環前進。
產業的聲音
資安業界廠商關注資安政策已久,並實際參與SRB會議,以下是他們對相關政策提出建議:
中華數位台灣事業處劉孟達總經理:計畫執行成效需要有被檢視機制
儘管政府過去也陸續有資安產業的補助計畫,某些計畫執行上仍較偏重網路安全設備大廠,但他們原本的經營體質可能就比較好。因此將來希望這些計畫成果能有被具體檢視的機制,至少資安大廠、小廠都有機會。
此外,關於資安人才養成,雖然SRB上政府列出建議資安產業研發的方向,如雲端安全、行動安全等,但產業未必有足夠研發人力,因此希望產、學之間有更多媒合交流的平台。
至於擴大內需的部份,雖然SRB上各部會列出的計畫預算不少,但這些計畫所要投入的方向,是否真是使用單位最關鍵急迫的需求,政府相關機關所投入的電腦應用概況調查應該更深入些。
威播科技總經理劉榮太、副總陳鴻彬:推動產業結盟,讓政府與廠商能互蒙其利
若要扶植資安產業,有幾個重點方向:
1) 1.推動產業結盟,讓政府與國內資安廠商能互蒙其利。例如在政府資安相關的標案中,多採用國內符合NCC產品認證規定的優良資安廠商,除了能厚植國內資安技術的發展,廠商之間更可藉由技術整合提供給政府更適切在地需求的資安解決方案。
2) 2.產品認證制度可參考國外的分級制度,對於重要機關(如軍方)的資安產品採購做出產地限制。資安是國防的一環,機敏單位的資訊安全不應依賴外國產品。
3) 3.國內的資安廠商要能揚名國際,除了先進的技術之外,能見度也十分重要。舉例而言,政府若能在國際知名展覽中設立台灣館,補助國內廠商到外國參展,會是十分直接的幫助。
中華龍網董事長蔡銘桔:沒有自己的雲 軟體廠商生存空間恐被壓縮
關於在雲端方面的產業政策,有以下建議:
雲端應用的趨勢,主要是以行動設備(Smart Phone、平板電腦等)做為媒介,因為行動設備具有便利以及有限的儲存空間特性,所以對雲端具有強烈的需求。然而台灣長期依賴電子硬體製造產業,忽略核心的應用軟體技術。面對雲端服務的時代,台灣的電信與製造業大廠僅在雲端的硬體與資料儲存上投資,中小企業則僅能在行動裝置上開發一些雲端運用的小apps。
政府對於雲端運算的核心技術,應該在與國外廠商合作時,進行技術移轉的配套措施,同時協助國內具有研發能量的企業與國外廠商合作,才能達到扶植國內產業的目的。
網駭科技總經理徐千洋:補助需要放在對的地方,哪個產業熱自然吸引人才往哪裡走。
目前台灣資安產業光靠內需市場無法滿足產業研發投入,期望政府預算能投對方向,發揮最大效益。
1. 資安技術人才可分作「技術型」和「研發型」,前者能處理各項資安相關產品,或作資安技術服務(滲透測試、弱點掃瞄、緊急應變等),這類人才常在各SI或經銷商,一般透過自學或受教育訓練,在產業待久能力就越強。而研發型人才可針對各項資安問題,開發出相關工具或程式。很可惜的是,研發型人才是目前台灣資安產業最缺少的。因為這類人才大都被嵌入式或硬體產業給大量吸收,不然就是進入少數大型軟體產業(如趨勢、資策會等),鮮少進入資安研發公司。事實上,台灣軟體產業本來生存就大不易,真正投入資安研發的更是少之又少,台灣資安市場根本無法養得起真正研發能量的軟體設計人才,這是台灣整個產業方向的問題,個人認為除非政策上對投入資安研發的公司有更多實質的協助。例如對本土資安產品在國內市場的保障,並協助拓展外銷市場,這兩點最重要。
2.學校教育跟產業需求仍有落差。根據台灣駭客年會(HIT)舉辦幾年下來的觀察,台灣在學學生其實不少對資安技術或說是駭客技術有強烈學習動力,但國內學校環境相關資源有限(駭客技術進化速度快,老師對這類技術或許不太熟悉),而這類技術自我學習來源最大的,就是對岸的駭客論壇(例如,看雪論壇),這些人看到HIT上談的盡是逆向工程、破解安全保護、繞過防毒軟體偵測、弱點研究等技術,都會十分開心,覺得原來國內還是有同好,但這些技術能為國內資安公司帶來什麼幫助?國內資安公司要這樣的人才嗎?如同前述,是產業發展造成的問題。這些學生花時間投入研究這些技術,真的只能靠興趣,如果我對這些底層技術熟悉,為何我不去薪水及股票待遇高很多的硬體公司呢?