資安應提升至國家安全層級－台灣資安核心問題調查

黑數遮天、粉飾太平
「黑數」就是發生資安事件未通報、未上報的案件數字，相較美國在事件通報法的要求下，2006年發生超過500起資安事件，包含遺失設備、被入侵、內部安全事件等，至年底總計有一億筆個人資料外洩，反觀台灣沒有法令強制力的狀況下，浮現在台面上的事件寥寥可數，甚至讓人產生錯覺，以為台灣資安一級棒。現實狀況是，台灣資安沒有你想像中的安全。「粉飾太平」是資安的大黑洞，存在苟且、處理掉就算了的不負責任心態，但實際上事件並未被解決，到了下次爆發時會更嚴重。不願具名的受訪者表示，就經驗來說「黑數」、「匿報」高達八成以上，真正願意通報的只佔一、兩成，使問題更加嚴重。這樣的情況也造成另一種不平衡，守規矩乖乖通報事件的單位，受懲罰；隱匿不報的單位，反而沒事。資安人員不能得過且過，期待不要出大摟子，而應該真的面對它、不要逃避，必須導正「沒有發現就好」的錯誤觀念。
在「黑數」、「粉飾太平」的狀況下，衍生出資安議題未受到立法機關的重視，相關法規亦無法列入優先處理程序。目前台灣的資安環境存在許多的問題，在法規方面以管制濫發郵件的立法為例，因各方意見導致立法的腳步停滯不前，使得台灣全球濫發垃圾郵件總是排名在前。碩琦科技總經理鄭志文表示，垃圾郵件在2007年會成為企業最頭痛的問題，而發送垃圾郵件的方式也會因為防堵技術的進步跟著進化，反垃圾郵件技術的成長速度必須要跟上。
不論是政府或銀行，資料外洩都會引起民眾權益的損失，資安問題不只是國家安全，更牽涉到民眾利益，假使有心人拿到這些資料對民眾詐騙使其信以為真，就會造成嚴重的損失。以前說「保密防諜」，其實現在網路無國界，機密資料被竊，都會撼動國家安全，無論是外交、國際合作、國防、金融都涉及國安的議題，目前各國均面臨類似的問題，但是在台灣著急的都是少數人，真正攤開來說就有人要倒楣。資安是個吃力不討好的工作，做好做壞大家也不知道，出事了就摸摸鼻子被砲轟。但是，現在社會進入高度資訊化，太多生活的面向都依賴在網路上，假使金融系統、新聞系統遭到入侵、阻斷，社會將進入高度動盪不安、混亂、人心的潰散，所謂不戰而屈人之兵，造成內部瓦解。資安是國家安全問題，不是電腦問題，國家整體利益破壞及貿易金融、社會秩序崩壞，人人有責。


資安核心問題調查
《資安人》針對資安核心問題，分別對高階IT/ IS經理人以及資安廠商做調查，其中用戶將「高階主管資安認知」、「一般員工資安認知」、「稽核落實」、「管理問題」、「人才培育問題」以及「內外部威脅」列為嚴重的資安核心問題。其中認為「高階主管資安認知」及「一般員工資安認知」的不足是最為嚴重的問題。而「內部威脅」與「外部威脅」比例不相上下，前者略高於後者。檢視其原因，「粉飾太平」造成「認知」上的錯覺，讓高階主管認為投資資安與一般IT建設相同，而未給予應有的重視。
「認知問題」是擴大重視度的關鍵很多人把資訊安全與資訊保全混為一談，像是醫療與養生，醫療是專業人士的責任，而養生就是一般人的責任了，就像資訊保全應該是專業人士的責任。從一般使用者的角度來談資訊安全才會知道這個市場有多大，若資安市場不定義清楚，而資安市場則變成專業人士的事情，很多老闆在面對資安事件發生時都認為是資訊安全人員的責任，但這「專業」嗎？
台灣微軟資深行銷經理史百誠表示，「我們發現，現在最大的問題在認知及教育，但教育的問題絕對不是教育專業人員而應該是普羅大眾，一旦資安認知落在一般大眾市場，就要把資訊安全定義清楚，即資訊安全和資訊保全，資訊安全是大眾的問題，而保全則是專業人員該去做的。資安市場應該要分成二塊，專業人士及一般大眾的資安市場。」
對一般人來說，認知要分為兩方面，一個是技術，一個是規則，即一個是本身的安全，另一個是「使用」的安全；而廠商應該要負責的是建構的安全。所有人在使用資訊科技時，必須要有使用的規則，像是駕駛人必須遵守交通規則一樣。但是現在這樣的認知教育沒有人要跳出來做。


資安市場的怪現象
經過一個多月國內資安廠商的明查暗訪之後，總結出以下幾點台灣資安市場的現象：
企業高層認知問題。這是需要一個過程來培養的，一開始大家會認為資安只是防毒，範圍縮得很小，隨著網路開始擴張、防火牆建置，逐步擴大到實體的安全及資料中心。CA組合國際電腦股份有限公司台灣區總經理郭志宇表示，這二年來資安認知有成長，但還要加強。現在應該回頭去檢視，IT能帶給企業什麼？是不是可以帶給企業什麼核心價值，以彰顯資安的效益。要將資訊安全的管理變成IT管理的一部份，企業的資安管理應該從IT管理開始。有些企業的執行長若曾經做過IT，對於資安問題認知一定比較好，回到根本，企業有沒有CSO的機制，資安責任如何歸屬，必須要站在統合的角度來看這個問題。
認知不足習慣不好。目前在認知部份，即使連專業人員都不好，不像德國及日本要求嚴格，很多開發工程師不見得受到好的訓練。工程師安全工程教育訓練不足，對於設計出來的產品支援不夠，有Guidance也不見得會follow-up，加上一般使用者安全認知不足，就會出問題，很多人都認為是專業人員的事情，多買了產品求安心，買了之後可能因為產品使用上複雜而不去使用，這就要歸因於設計的開始沒有完善的考慮。廠商本身沒做好也是一個問題，客戶的問題未解決，身為供應商是否有做好客戶的服務。目前離成熟的市場還有一段距離，更多廠商的加入都只能算是在教育使用者。
現在很多廠商都只狹隘的由單一產品來切入資安的話題。賽門鐵克台灣區總經理丁瑞麟表示，「應該提供客戶一個安全的藍圖，做資安才能有方向性。每一個環結才可以完整的串在一起。從不同的構面來看問題。」
立法制度與標案制度問題。現在沒有針對一般大眾訂定適合的法規，像交通安全法規般的資安法律規範，去限定資訊安全是彼此的責任。如果資訊對您本身是很重要的，為何不去盡善良保管責任？法規的遵循在國外均被企業當成最重要的第一要務，而法規也是資安環境是否完備的最大驅動力。政府法規在金融行業有相關規定，在其他產業面上就無相關的規範可循。資安相關法規的制定是政府該做的，但卻因推動力不足，造成犯罪的溫床；而對企業的要求不夠，如資料外洩但卻缺乏罰則，相關的法規機制不足也限制了電子商務的商機。
標案問題。從台灣軟體業血淋淋的實例來看，因為公開招標最後低價得標的結果，造成問題服務費用無法獲得合理價格，導致台灣軟體產業無法起來。資安也面臨相同問題，一般廠商都覺得服務是應該的，服務變成無價的觀念。加上低價競標、血流成河的惡性循環，政府企業削價競爭，服務還有價乎？台灣經濟狀況不穩定，因此削價競爭的情況很普遍。
台灣有個約定成俗的規矩，後面的服務支援，軟體是可以商議的。但資安不同，因為資安必須24小時的應變，蒐集全球的相關資訊，立刻祭出解決方法，有急迫性，無法相提並論。回到最根本問題，廠商如何將認知表達清楚，讓客戶知道做資安不是買了產品就沒事了，而應該包含完整的資安產品與服務才對。
客戶不懂資安，服務及品質。現在媒體太過渲染資安事件，大家都認為出了事才需要資安，但從正確的角度來看資安就是資訊系統持續運作問題，認為資安是一般性的問題。但現在被突顯出來都顯得太過嚴重。
利用未來的威脅來加重現在的不安，造成一般不同的心態，很多人就會認為只要不用就不會受威脅，但資訊越來越發達，無可避免一定要使用，回歸現實面必須告訴大家如何正確去使用，如何做到安全這件事。通常客戶不懂便無法知道什麼樣的品質及服務是好的。而且每個人對服務好壞感受及認知不同，因為不了解才會提出不合理的要求，讓服務有價的觀念薄弱。將來，產品慢慢會式微，而服務慢慢會變成主流。台灣很多人都認為服務應該要被包含在產品中，但服務有時往往高於產品本身的價值。
熱心的廠商積極參與資安的推動及執行，因為長期缺乏上層的統合，沒有專人專責的單位來統整資安的發展，使得執行效率大打折扣，廠商感受不到政府在資源提供或對資安環境改善的具體動作。政府有許多的規畫，卻又往往無疾而終或仍原地踏步，或僅是大拜拜式的預算消化。不夠重視國內資安環境，因而抑制了國內資安廠商的發展，無法培植廠商好好站穩腳步、建立自己的品牌。


回顧與展望
2006年台灣市場成長未如預期，主要是受到資安預算和政府組織改造進度落後，以及金融單位雙卡效應和產業外移等多重因素影響。對於2007年的台灣資安市場，網擎資訊執行副總廖長健以審慎樂觀來看待，但其中還是有幾個變數，包括立法和組織改造的進度，期望大環境能有所改變，經濟復甦狀況也是一個指標，廠商也有很大的努力空間去教育市場了解安全的必要性。威播科技技術服務處協理陳鴻彬對2007年的市場是持保守悲觀的看法，經濟不景氣的問題及有無新議題產生，都會影響明年企業對資安的投資，因此找尋企業主感興趣的議題便成為當務之急。陳鴻彬認為企業要願意投資在資安上，必須與企業營運相關、企業受到損傷，或景氣好等三要點，才會進行投資。
兆聖科技執行副總林益正認為在資安發展上，在某些層次上台灣是跟隨著國際趨勢，但是腳步慢了點，主要的原因是國情及各單位對資安認知的關係。產業發展偏重在科技業如半導體和硬體，對資安發展比較沒有前瞻性的思維，資安只是隨著科技業起伏，相較於國外對資安的認知，資安是與企業風險的概念連結在一起，而不是IT基礎架構的一部份，這個觀念在台灣尚未被建立的很好。
目前台灣資安的消費及政策龍頭是政府和軍方，其次是銀行和電信業者，再來才是一般企業，以政府為例，對資安的了解仍然不夠，事實上資安應該也是國家安全、民族工業的一部份，必須培植有研發能力的公司，才不會受制於人，政府對此缺乏長遠的構思。
趨勢科技台灣區企業客戶部業務副總經理洪偉淦表示，今年整體看來是成長的，內容安全市場可以分成二個部份，傳統防毒市場成長趨於平緩，但其他部份如稽核、硬體設備的部分成長較高。明年也會延續年底的趨勢持續成長，因為攻擊事件嚴重加上攻擊手法改變，成為區域化的目標性攻擊(Target Attack)，會使得區域型的資安市場有新的商機。林益正認為資安明年的趨勢將會往內容安全和稽核落實的方向走，往內部資安議題移動，資安防護設備的整合和稽核的需求會提升。2007會比2006年好，總體來說還是要回歸到市場景氣和法規為指標。
台灣由於法規環境和立法延宕，造成資安產品需求無法被突顯，台灣仍尚未趕上國際的趨勢。也因為環境不是很容易掌握。台灣除了本土廠商，也有外國的競爭者加入，外商著眼於大中華市場，不會忽視作為前進基地的台灣市場，在內外夾擊和僧多粥少的情況下，除非有很新的產品推出，否則將不會有太大的成長。政府單位在2006年ISMS與SOC建置的差不多了，因此預期今年這方面的需求會稍微下降。在2007年台灣市場預期上，呈現兩極化的看法，部份廠商在看不到成長的誘因下，預期台灣資安市場會是衰退的。


養分不足，無法生根，開不出豐碩的果實
資安產業的發展與經濟是有關係的，安全是到了一定成長的程度才會被考慮，如果基本應用都在後退，那資安就不會變成重要的項目。中國大陸現在招商積極，用投資的角度來看，給予一些免稅的優惠或經費的補助，為了拉攏新科技，吸引外商投資並培養人才，如果收入增加，將來稅收也變高，對官方而言沒有壞處。但是對台灣來說傷害很大，台灣有太多方面的發展延宕，舉個簡單的實例來說，一個惡意程式的定義都做不出來，反觀其他國家卻可以清楚的定義出來。政策敢不敢訂，訂了之後敢不敢做，政府又怕圖利廠商之嫌，只談不做，而多做多錯的為官之道限制了應有的發展。除了台灣市場之外，中華數位劉孟達總經理表示，在日本市場由於個人情報保護法和J-SOX的推動下，日本市場對內容管理、郵件管理產品需求會比台灣更具迫切性。日本市場不論從時間和市場面看都是值得聚焦的市場。
韓國在保護資安產業是出了名的「壁壘」，要進市場就必須開放原始碼，透過民間的公協會可以彙整資安廠商的建言，政府機關主動向公協會要求提供政策制訂建議，在國外參展部分，都是由公協會帶隊組成「韓國館」，顯現出十足的團結力量大，的確值得我們借鏡。

台灣政府有心想做事的人不少，但限制很多，導致政府無力扶植產業，在規劃上更需要長遠的眼光，而非短期效果。Ｍ型化社會在台灣雖不明顯但已逐漸形成的狀況下，國內仍在醉生夢死，態度上不在乎終會導致欲振乏力。在整個台灣資安市場呈現養分不足、市場機制未明，使得人才缺乏投入的誘因，產學合作管道無法有效利用，產業無法生根，更遑論長出豐碩的果實。