國內資安環境沒有想像中安全

抱著不信春天喚不回的心情，希望藉由本文的探討，能喚醒某些人的關注，能匯聚更多關心資安的園丁們，一小步、一小步往前推進，讓我們一起面對並重新檢視這些議題。我們需要一個全國性專職機構（不僅僅針對公單位），至少是一個內閣的部會，統籌全國資安政策，相關政策推動，編列專門預算， 實際承擔資安的責任。美國原有的FEMA（註2）組織，應是一個可參考的方案。現有的資通會報立意良好，但是缺乏推動預算、對政府單位的強制推動力。負責政府單位資安工作的研考會，位階依然太低，同時推動資安工作唯一的依據是一份行政命令（註3）。單位只要一句「沒人沒錢」，猶如領有一面免死金牌。

法律及法規是資安工作的主推手。相關主管機關應該主動出面擬定相關法規訂定法條，強制推動。國內開始具體推動資安工作的這五年來，可以發現一個非常清楚的現象，就是沒有一個企業級單位願意主動推動資安工作。我們觀察美國、韓國乃至最近日本推動個人情報保護法，只要法條要求，企業級單位為了滿足最低要求，只得編列預算、指派人力逐步推動。

拉高資安到『國家安全』層級。目前資安工作只停留在政府部份單位及民間自發性的自保作為。其它如，軍事機密不斷外洩、政府機敏資料未能做到滴水不漏、人民隱私資料失守，這都是國家層級的事務，資安位階應該拉到國家安全層級。唯有如此資安工作才能獲得必要的資源、及最優先的工作排序。
Critical infrastructureprotection重要民生基礎設施之防護。重要民生基礎設施是國家安全的另一個構面，這些設施只要遭受破壞，馬上造成社會的不安，舉凡水電、交通、通訊、ISP、金融、醫療，應該建立安全防護標準，並確實實施及稽核督導。為了將這些安全工作做好，勢必大量晉用相關的資安人才：安全顧問、資安管理人員、各式相關技術人員、稽核人員。


缺乏人才培訓制度。人才難覓在資安圈一直是個頭疼的問題，除了基本專業知識之外，更需要廣泛的相關工作經驗，才能達到獨立作業的能力。但是資安市場的不暢通，完全無法吸引人才投入，遑論在校的學子願意投入資安工作職場。雖然教育部開始推動資安學程，但是缺乏整體資安政策，如何知道實際需要哪些專才？舉一個大家可能沒有注意的方向，碰到資安事件，我們現有的相關律師、
檢察官、法官能勝任嗎？我要呼籲廣泛建立安全官（資安長）的角色，他們最重要的任務是以老闆聽的懂的話，傳遞資安訊息、溝通資安任務。

政府採購法造成服務無價，資安服務市場嚴重變態。國內的客戶沒有買服務的觀念，資安是一個百分百服務的行業，竟也淪為硬體式銷售，也因此產生許多變態業務行為，傷了廠商也傷了用戶。政府現有的採購法依然是扼殺資安服務產業的殺手，真實的世界絕對是服務的價格遠高於硬體設備，如果以硬體捆綁軟體，注定後患無窮。

除了檢討現有採購法之外，另一個可參考的方式是要求接政府案子的廠商，必須符合一些最低資安標準，必須擁有哪些專職資安人員。藉由政府採購的力量，鼓動一些資安人力市場。

資安人員位階矮化。民間單位必須依賴資訊力增加企業競爭力，中大型企業比較能重視資訊人員，反觀政府現有的資訊人力規劃，仍停留在早期資料處理的環境，政府單位的資訊人員位階職等低，負責資安人員往往在這些脆弱的人力結構下硬擠出來兼任，有些較小的單位還是一般行政人員兼管。除了專職學能不足之外，更缺乏部門間的溝通能耐，在以人為本的資安工作中，如何期待資安工作的落實？
培育強壯的資安諮詢顧問團隊。資安的面向太寬，從管理到技術，從最高階主管到每一位組織內的人員、甚至還牽涉協力廠；從個人密碼到防火牆，從擬定政策到教育訓練。單位內如何掌握每一個工作範圍？此時外部的諮詢顧問就非常的重
要。但弔詭的是，國內少數資安系統整合商，幾乎都不得善終。資安顧問劣幣逐良幣的結果，專業資安顧問要不離開原有崗位、要不客戶承辦人員自己補顧問的位置，降低標準驗收。個人以為，國內強大的資安顧問能量的積蓄，可轉化為龐大的國產自主資安技術。畢竟，任何資安設備的背後都需要強大的技術及諮詢能量。

資安國家標準推動不力。資安工作推到今天，還看不到任何資安產品的認證系統，資安產品好不好、有沒有問題，完全由用戶獨自承擔。這是一塊不管地，任何人都可以進口資安產品到市場上銷售。認證制度對國產資安產品更形重要，如果國內有現成的認證機構提供認證服務並獲國外交叉認可，國產品就不需支付超高費用且花龐大人力遠渡重洋獲取一紙認證（國產資安品做外銷，都必須通過
國際認證及各當地國之國家標準）。以我們的鄰國韓國為例，所有提供資安諮詢服務的公司，國家會實際管理，在獲准成立後，無論資安服務的專業度及公司的財務穩定度，都是持續稽核要項。

自主資安能力的儲備。早期國家咬牙推IDF戰機、發展飛彈，係著眼於國防自主。當我們進入e-society時，我們在e世界的自主國防力量在哪？再花6,000億的零頭向美國買嗎？其實在資安領域，只要花小小的代價，好好培育國產資安廠商，「寓兵於民」又簡單、又省錢，規劃得宜還可能掙回大筆外匯。
但是整個國產資安產業在工業局的輔導案中，被摒除在外。目前也只看到一些零星的推廣補助，不知已經結案的一本本研究計畫是如何被評估、審核？
我們在資安領域的境遇，很像處在實體世界的以色列。提醒讀者們，以色列在全球實體世界的安防領域乃致反恐市場，無不佔據一個難以撼動的位置。因為他們國家支持、加上惡劣環境的焠煉，反而打造出最出色的技術與經驗，外銷全球賺取驚人外匯。

現有通報制度，鼓勵隱匿資安事件。現有的主管機關缺乏保護受害單位或企業的作法與觀念，企業出資安事件已經受害，通報或報案後，訊息公開商譽受損，還要面對主管機關的懲處。主管機關應該與被害單位站在同一條線上，共同面對挑戰與困難。

實際上相當諷刺地，隱匿不報的單位或企業太平無事。事實上，事件通報是整體資安體質（無論是國家及企業本身）得以提升的要件。目前國內無論公或私單位，大多選擇私了，呈現一片太平盛世，但是問題依然存在，更可能同時轉為膿瘡。主管機關應以協助資安事件的角色，取代目前裁判的角色。
當然，就我目前的了解，主管機關可能不知如何協助。其實，企業只要能舉證，並善盡應有的防護責任，應該提供一定的免責空間。這反而可以鼓勵正規的企業或單位，全力做好安全防範的投入。

廣大中小企業資安委外。全國家數眾多的中小企業，實在無法負擔龐大的資安壓力，最簡單的方法是：(1)找出企業最需要保護的資產；(2)投資基礎資安防護；(3)委託資安專家定時健檢或委託服務。請注意，以上每一件工作的推動，在現有體制內處處都是限制，無法以正常方式推動。其中除了工程浩大外，更必須克服許多的難關，修改許多現存的規定。這代表什麼？需要大魄力！所以關鍵在於：一個有權責的專職機關、還必須搭配一位有魄力、遠見的主管。實乃乾旱之遠眺雲霓！

(註解)
註1：十大建言：(1)速設主管機關與資訊長；(2)專款專用解決沒人沒錢；(3)各部會首長應重視資安；(4)增補資訊人員提高位階；(5)擺脫考績掛帥公僕宿命；(6)教育訓練加強人員觀念；(7)安檢稽核不能馬虎；(8)健全標案評選合格廠商；(9)加強廠商專業及服務；(10)提升技術營造產業群聚。
註2：FEMA：美國聯邦緊急事務管理局，於2003年3月底成為國土安全部(DHS)的一部分，負責全國緊急應變的計畫、恢復和減輕災害，協調46個相關單位之間的聯繫。
註3：行政院於民國88年頒布「行政院暨所屬各機關資訊安全管理規範」。