觀點

國內資安環境沒有想像中安全

2007 / 05 / 29
侍家驊
國內資安環境沒有想像中安全

抱著不信春天喚不回的心情,希望藉由本文的探討,能喚醒某些人的關注,能匯聚更多關心資安的園丁們,一小步、一小步往前推進,讓我們一起面對並重新檢視這些議題。我們需要一個全國性專職機構(不僅僅針對公單位),至少是一個內閣的部會,統籌全國資安政策,相關政策推動,編列專門預算, 實際承擔資安的責任。美國原有的FEMA(註2)組織,應是一個可參考的方案。現有的資通會報立意良好,但是缺乏推動預算、對政府單位的強制推動力。負責政府單位資安工作的研考會,位階依然太低,同時推動資安工作唯一的依據是一份行政命令(註3)。單位只要一句「沒人沒錢」,猶如領有一面免死金牌。

法律及法規是資安工作的主推手。相關主管機關應該主動出面擬定相關法規訂定法條,強制推動。國內開始具體推動資安工作的這五年來,可以發現一個非常清楚的現象,就是沒有一個企業級單位願意主動推動資安工作。我們觀察美國、韓國乃至最近日本推動個人情報保護法,只要法條要求,企業級單位為了滿足最低要求,只得編列預算、指派人力逐步推動。

拉高資安到『國家安全』層級。目前資安工作只停留在政府部份單位及民間自發性的自保作為。其它如,軍事機密不斷外洩、政府機敏資料未能做到滴水不漏、人民隱私資料失守,這都是國家層級的事務,資安位階應該拉到國家安全層級。唯有如此資安工作才能獲得必要的資源、及最優先的工作排序。
Critical infrastructureprotection重要民生基礎設施之防護。重要民生基礎設施是國家安全的另一個構面,這些設施只要遭受破壞,馬上造成社會的不安,舉凡水電、交通、通訊、ISP、金融、醫療,應該建立安全防護標準,並確實實施及稽核督導。為了將這些安全工作做好,勢必大量晉用相關的資安人才:安全顧問、資安管理人員、各式相關技術人員、稽核人員。


缺乏人才培訓制度。人才難覓在資安圈一直是個頭疼的問題,除了基本專業知識之外,更需要廣泛的相關工作經驗,才能達到獨立作業的能力。但是資安市場的不暢通,完全無法吸引人才投入,遑論在校的學子願意投入資安工作職場。雖然教育部開始推動資安學程,但是缺乏整體資安政策,如何知道實際需要哪些專才?舉一個大家可能沒有注意的方向,碰到資安事件,我們現有的相關律師、
檢察官、法官能勝任嗎?我要呼籲廣泛建立安全官(資安長)的角色,他們最重要的任務是以老闆聽的懂的話,傳遞資安訊息、溝通資安任務。

政府採購法造成服務無價,資安服務市場嚴重變態。國內的客戶沒有買服務的觀念,資安是一個百分百服務的行業,竟也淪為硬體式銷售,也因此產生許多變態業務行為,傷了廠商也傷了用戶。政府現有的採購法依然是扼殺資安服務產業的殺手,真實的世界絕對是服務的價格遠高於硬體設備,如果以硬體捆綁軟體,注定後患無窮。

除了檢討現有採購法之外,另一個可參考的方式是要求接政府案子的廠商,必須符合一些最低資安標準,必須擁有哪些專職資安人員。藉由政府採購的力量,鼓動一些資安人力市場。

資安人員位階矮化。民間單位必須依賴資訊力增加企業競爭力,中大型企業比較能重視資訊人員,反觀政府現有的資訊人力規劃,仍停留在早期資料處理的環境,政府單位的資訊人員位階職等低,負責資安人員往往在這些脆弱的人力結構下硬擠出來兼任,有些較小的單位還是一般行政人員兼管。除了專職學能不足之外,更缺乏部門間的溝通能耐,在以人為本的資安工作中,如何期待資安工作的落實?
培育強壯的資安諮詢顧問團隊。資安的面向太寬,從管理到技術,從最高階主管到每一位組織內的人員、甚至還牽涉協力廠;從個人密碼到防火牆,從擬定政策到教育訓練。單位內如何掌握每一個工作範圍?此時外部的諮詢顧問就非常的重
要。但弔詭的是,國內少數資安系統整合商,幾乎都不得善終。資安顧問劣幣逐良幣的結果,專業資安顧問要不離開原有崗位、要不客戶承辦人員自己補顧問的位置,降低標準驗收。個人以為,國內強大的資安顧問能量的積蓄,可轉化為龐大的國產自主資安技術。畢竟,任何資安設備的背後都需要強大的技術及諮詢能量。

資安國家標準推動不力。資安工作推到今天,還看不到任何資安產品的認證系統,資安產品好不好、有沒有問題,完全由用戶獨自承擔。這是一塊不管地,任何人都可以進口資安產品到市場上銷售。認證制度對國產資安產品更形重要,如果國內有現成的認證機構提供認證服務並獲國外交叉認可,國產品就不需支付超高費用且花龐大人力遠渡重洋獲取一紙認證(國產資安品做外銷,都必須通過
國際認證及各當地國之國家標準)。以我們的鄰國韓國為例,所有提供資安諮詢服務的公司,國家會實際管理,在獲准成立後,無論資安服務的專業度及公司的財務穩定度,都是持續稽核要項。

自主資安能力的儲備。早期國家咬牙推IDF戰機、發展飛彈,係著眼於國防自主。當我們進入e-society時,我們在e世界的自主國防力量在哪?再花6,000億的零頭向美國買嗎?其實在資安領域,只要花小小的代價,好好培育國產資安廠商,「寓兵於民」又簡單、又省錢,規劃得宜還可能掙回大筆外匯。
但是整個國產資安產業在工業局的輔導案中,被摒除在外。目前也只看到一些零星的推廣補助,不知已經結案的一本本研究計畫是如何被評估、審核?
我們在資安領域的境遇,很像處在實體世界的以色列。提醒讀者們,以色列在全球實體世界的安防領域乃致反恐市場,無不佔據一個難以撼動的位置。因為他們國家支持、加上惡劣環境的焠煉,反而打造出最出色的技術與經驗,外銷全球賺取驚人外匯。

現有通報制度,鼓勵隱匿資安事件。現有的主管機關缺乏保護受害單位或企業的作法與觀念,企業出資安事件已經受害,通報或報案後,訊息公開商譽受損,還要面對主管機關的懲處。主管機關應該與被害單位站在同一條線上,共同面對挑戰與困難。

實際上相當諷刺地,隱匿不報的單位或企業太平無事。事實上,事件通報是整體資安體質(無論是國家及企業本身)得以提升的要件。目前國內無論公或私單位,大多選擇私了,呈現一片太平盛世,但是問題依然存在,更可能同時轉為膿瘡。主管機關應以協助資安事件的角色,取代目前裁判的角色。
當然,就我目前的了解,主管機關可能不知如何協助。其實,企業只要能舉證,並善盡應有的防護責任,應該提供一定的免責空間。這反而可以鼓勵正規的企業或單位,全力做好安全防範的投入。

廣大中小企業資安委外。全國家數眾多的中小企業,實在無法負擔龐大的資安壓力,最簡單的方法是:(1)找出企業最需要保護的資產;(2)投資基礎資安防護;(3)委託資安專家定時健檢或委託服務。請注意,以上每一件工作的推動,在現有體制內處處都是限制,無法以正常方式推動。其中除了工程浩大外,更必須克服許多的難關,修改許多現存的規定。這代表什麼?需要大魄力!所以關鍵在於:一個有權責的專職機關、還必須搭配一位有魄力、遠見的主管。實乃乾旱之遠眺雲霓!

(註解)
註1:十大建言:(1)速設主管機關與資訊長;(2)專款專用解決沒人沒錢;(3)各部會首長應重視資安;(4)增補資訊人員提高位階;(5)擺脫考績掛帥公僕宿命;(6)教育訓練加強人員觀念;(7)安檢稽核不能馬虎;(8)健全標案評選合格廠商;(9)加強廠商專業及服務;(10)提升技術營造產業群聚。
註2:FEMA:美國聯邦緊急事務管理局,於2003年3月底成為國土安全部(DHS)的一部分,負責全國緊急應變的計畫、恢復和減輕災害,協調46個相關單位之間的聯繫。
註3:行政院於民國88年頒布「行政院暨所屬各機關資訊安全管理規範」。