觀點

資安應提升至國家安全層級-台灣資安核心問題調查

2007 / 05 / 29
編輯部
資安應提升至國家安全層級-台灣資安核心問題調查

黑數遮天、粉飾太平
「黑數」就是發生資安事件未通報、未上報的案件數字,相較美國在事件通報法的要求下,2006年發生超過500起資安事件,包含遺失設備、被入侵、內部安全事件等,至年底總計有一億筆個人資料外洩,反觀台灣沒有法令強制力的狀況下,浮現在台面上的事件寥寥可數,甚至讓人產生錯覺,以為台灣資安一級棒。現實狀況是,台灣資安沒有你想像中的安全。「粉飾太平」是資安的大黑洞,存在苟且、處理掉就算了的不負責任心態,但實際上事件並未被解決,到了下次爆發時會更嚴重。不願具名的受訪者表示,就經驗來說「黑數」、「匿報」高達八成以上,真正願意通報的只佔一、兩成,使問題更加嚴重。這樣的情況也造成另一種不平衡,守規矩乖乖通報事件的單位,受懲罰;隱匿不報的單位,反而沒事。資安人員不能得過且過,期待不要出大摟子,而應該真的面對它、不要逃避,必須導正「沒有發現就好」的錯誤觀念。
在「黑數」、「粉飾太平」的狀況下,衍生出資安議題未受到立法機關的重視,相關法規亦無法列入優先處理程序。目前台灣的資安環境存在許多的問題,在法規方面以管制濫發郵件的立法為例,因各方意見導致立法的腳步停滯不前,使得台灣全球濫發垃圾郵件總是排名在前。碩琦科技總經理鄭志文表示,垃圾郵件在2007年會成為企業最頭痛的問題,而發送垃圾郵件的方式也會因為防堵技術的進步跟著進化,反垃圾郵件技術的成長速度必須要跟上。
不論是政府或銀行,資料外洩都會引起民眾權益的損失,資安問題不只是國家安全,更牽涉到民眾利益,假使有心人拿到這些資料對民眾詐騙使其信以為真,就會造成嚴重的損失。以前說「保密防諜」,其實現在網路無國界,機密資料被竊,都會撼動國家安全,無論是外交、國際合作、國防、金融都涉及國安的議題,目前各國均面臨類似的問題,但是在台灣著急的都是少數人,真正攤開來說就有人要倒楣。資安是個吃力不討好的工作,做好做壞大家也不知道,出事了就摸摸鼻子被砲轟。但是,現在社會進入高度資訊化,太多生活的面向都依賴在網路上,假使金融系統、新聞系統遭到入侵、阻斷,社會將進入高度動盪不安、混亂、人心的潰散,所謂不戰而屈人之兵,造成內部瓦解。資安是國家安全問題,不是電腦問題,國家整體利益破壞及貿易金融、社會秩序崩壞,人人有責。


資安核心問題調查
《資安人》針對資安核心問題,分別對高階IT/ IS經理人以及資安廠商做調查,其中用戶將「高階主管資安認知」、「一般員工資安認知」、「稽核落實」、「管理問題」、「人才培育問題」以及「內外部威脅」列為嚴重的資安核心問題。其中認為「高階主管資安認知」及「一般員工資安認知」的不足是最為嚴重的問題。而「內部威脅」與「外部威脅」比例不相上下,前者略高於後者。檢視其原因,「粉飾太平」造成「認知」上的錯覺,讓高階主管認為投資資安與一般IT建設相同,而未給予應有的重視。
「認知問題」是擴大重視度的關鍵很多人把資訊安全與資訊保全混為一談,像是醫療與養生,醫療是專業人士的責任,而養生就是一般人的責任了,就像資訊保全應該是專業人士的責任。從一般使用者的角度來談資訊安全才會知道這個市場有多大,若資安市場不定義清楚,而資安市場則變成專業人士的事情,很多老闆在面對資安事件發生時都認為是資訊安全人員的責任,但這「專業」嗎?
台灣微軟資深行銷經理史百誠表示,「我們發現,現在最大的問題在認知及教育,但教育的問題絕對不是教育專業人員而應該是普羅大眾,一旦資安認知落在一般大眾市場,就要把資訊安全定義清楚,即資訊安全和資訊保全,資訊安全是大眾的問題,而保全則是專業人員該去做的。資安市場應該要分成二塊,專業人士及一般大眾的資安市場。」
對一般人來說,認知要分為兩方面,一個是技術,一個是規則,即一個是本身的安全,另一個是「使用」的安全;而廠商應該要負責的是建構的安全。所有人在使用資訊科技時,必須要有使用的規則,像是駕駛人必須遵守交通規則一樣。但是現在這樣的認知教育沒有人要跳出來做。


資安市場的怪現象
經過一個多月國內資安廠商的明查暗訪之後,總結出以下幾點台灣資安市場的現象:
企業高層認知問題。這是需要一個過程來培養的,一開始大家會認為資安只是防毒,範圍縮得很小,隨著網路開始擴張、防火牆建置,逐步擴大到實體的安全及資料中心。CA組合國際電腦股份有限公司台灣區總經理郭志宇表示,這二年來資安認知有成長,但還要加強。現在應該回頭去檢視,IT能帶給企業什麼?是不是可以帶給企業什麼核心價值,以彰顯資安的效益。要將資訊安全的管理變成IT管理的一部份,企業的資安管理應該從IT管理開始。有些企業的執行長若曾經做過IT,對於資安問題認知一定比較好,回到根本,企業有沒有CSO的機制,資安責任如何歸屬,必須要站在統合的角度來看這個問題。
認知不足習慣不好。目前在認知部份,即使連專業人員都不好,不像德國及日本要求嚴格,很多開發工程師不見得受到好的訓練。工程師安全工程教育訓練不足,對於設計出來的產品支援不夠,有Guidance也不見得會follow-up,加上一般使用者安全認知不足,就會出問題,很多人都認為是專業人員的事情,多買了產品求安心,買了之後可能因為產品使用上複雜而不去使用,這就要歸因於設計的開始沒有完善的考慮。廠商本身沒做好也是一個問題,客戶的問題未解決,身為供應商是否有做好客戶的服務。目前離成熟的市場還有一段距離,更多廠商的加入都只能算是在教育使用者。
現在很多廠商都只狹隘的由單一產品來切入資安的話題。賽門鐵克台灣區總經理丁瑞麟表示,「應該提供客戶一個安全的藍圖,做資安才能有方向性。每一個環結才可以完整的串在一起。從不同的構面來看問題。」
立法制度與標案制度問題。現在沒有針對一般大眾訂定適合的法規,像交通安全法規般的資安法律規範,去限定資訊安全是彼此的責任。如果資訊對您本身是很重要的,為何不去盡善良保管責任?法規的遵循在國外均被企業當成最重要的第一要務,而法規也是資安環境是否完備的最大驅動力。政府法規在金融行業有相關規定,在其他產業面上就無相關的規範可循。資安相關法規的制定是政府該做的,但卻因推動力不足,造成犯罪的溫床;而對企業的要求不夠,如資料外洩但卻缺乏罰則,相關的法規機制不足也限制了電子商務的商機。
標案問題。從台灣軟體業血淋淋的實例來看,因為公開招標最後低價得標的結果,造成問題服務費用無法獲得合理價格,導致台灣軟體產業無法起來。資安也面臨相同問題,一般廠商都覺得服務是應該的,服務變成無價的觀念。加上低價競標、血流成河的惡性循環,政府企業削價競爭,服務還有價乎?台灣經濟狀況不穩定,因此削價競爭的情況很普遍。
台灣有個約定成俗的規矩,後面的服務支援,軟體是可以商議的。但資安不同,因為資安必須24小時的應變,蒐集全球的相關資訊,立刻祭出解決方法,有急迫性,無法相提並論。回到最根本問題,廠商如何將認知表達清楚,讓客戶知道做資安不是買了產品就沒事了,而應該包含完整的資安產品與服務才對。
客戶不懂資安,服務及品質。現在媒體太過渲染資安事件,大家都認為出了事才需要資安,但從正確的角度來看資安就是資訊系統持續運作問題,認為資安是一般性的問題。但現在被突顯出來都顯得太過嚴重。
利用未來的威脅來加重現在的不安,造成一般不同的心態,很多人就會認為只要不用就不會受威脅,但資訊越來越發達,無可避免一定要使用,回歸現實面必須告訴大家如何正確去使用,如何做到安全這件事。通常客戶不懂便無法知道什麼樣的品質及服務是好的。而且每個人對服務好壞感受及認知不同,因為不了解才會提出不合理的要求,讓服務有價的觀念薄弱。將來,產品慢慢會式微,而服務慢慢會變成主流。台灣很多人都認為服務應該要被包含在產品中,但服務有時往往高於產品本身的價值。
熱心的廠商積極參與資安的推動及執行,因為長期缺乏上層的統合,沒有專人專責的單位來統整資安的發展,使得執行效率大打折扣,廠商感受不到政府在資源提供或對資安環境改善的具體動作。政府有許多的規畫,卻又往往無疾而終或仍原地踏步,或僅是大拜拜式的預算消化。不夠重視國內資安環境,因而抑制了國內資安廠商的發展,無法培植廠商好好站穩腳步、建立自己的品牌。


回顧與展望
2006年台灣市場成長未如預期,主要是受到資安預算和政府組織改造進度落後,以及金融單位雙卡效應和產業外移等多重因素影響。對於2007年的台灣資安市場,網擎資訊執行副總廖長健以審慎樂觀來看待,但其中還是有幾個變數,包括立法和組織改造的進度,期望大環境能有所改變,經濟復甦狀況也是一個指標,廠商也有很大的努力空間去教育市場了解安全的必要性。威播科技技術服務處協理陳鴻彬對2007年的市場是持保守悲觀的看法,經濟不景氣的問題及有無新議題產生,都會影響明年企業對資安的投資,因此找尋企業主感興趣的議題便成為當務之急。陳鴻彬認為企業要願意投資在資安上,必須與企業營運相關、企業受到損傷,或景氣好等三要點,才會進行投資。
兆聖科技執行副總林益正認為在資安發展上,在某些層次上台灣是跟隨著國際趨勢,但是腳步慢了點,主要的原因是國情及各單位對資安認知的關係。產業發展偏重在科技業如半導體和硬體,對資安發展比較沒有前瞻性的思維,資安只是隨著科技業起伏,相較於國外對資安的認知,資安是與企業風險的概念連結在一起,而不是IT基礎架構的一部份,這個觀念在台灣尚未被建立的很好。
目前台灣資安的消費及政策龍頭是政府和軍方,其次是銀行和電信業者,再來才是一般企業,以政府為例,對資安的了解仍然不夠,事實上資安應該也是國家安全、民族工業的一部份,必須培植有研發能力的公司,才不會受制於人,政府對此缺乏長遠的構思。
趨勢科技台灣區企業客戶部業務副總經理洪偉淦表示,今年整體看來是成長的,內容安全市場可以分成二個部份,傳統防毒市場成長趨於平緩,但其他部份如稽核、硬體設備的部分成長較高。明年也會延續年底的趨勢持續成長,因為攻擊事件嚴重加上攻擊手法改變,成為區域化的目標性攻擊(Target Attack),會使得區域型的資安市場有新的商機。林益正認為資安明年的趨勢將會往內容安全和稽核落實的方向走,往內部資安議題移動,資安防護設備的整合和稽核的需求會提升。2007會比2006年好,總體來說還是要回歸到市場景氣和法規為指標。
台灣由於法規環境和立法延宕,造成資安產品需求無法被突顯,台灣仍尚未趕上國際的趨勢。也因為環境不是很容易掌握。台灣除了本土廠商,也有外國的競爭者加入,外商著眼於大中華市場,不會忽視作為前進基地的台灣市場,在內外夾擊和僧多粥少的情況下,除非有很新的產品推出,否則將不會有太大的成長。政府單位在2006年ISMS與SOC建置的差不多了,因此預期今年這方面的需求會稍微下降。在2007年台灣市場預期上,呈現兩極化的看法,部份廠商在看不到成長的誘因下,預期台灣資安市場會是衰退的。


養分不足,無法生根,開不出豐碩的果實
資安產業的發展與經濟是有關係的,安全是到了一定成長的程度才會被考慮,如果基本應用都在後退,那資安就不會變成重要的項目。中國大陸現在招商積極,用投資的角度來看,給予一些免稅的優惠或經費的補助,為了拉攏新科技,吸引外商投資並培養人才,如果收入增加,將來稅收也變高,對官方而言沒有壞處。但是對台灣來說傷害很大,台灣有太多方面的發展延宕,舉個簡單的實例來說,一個惡意程式的定義都做不出來,反觀其他國家卻可以清楚的定義出來。政策敢不敢訂,訂了之後敢不敢做,政府又怕圖利廠商之嫌,只談不做,而多做多錯的為官之道限制了應有的發展。除了台灣市場之外,中華數位劉孟達總經理表示,在日本市場由於個人情報保護法和J-SOX的推動下,日本市場對內容管理、郵件管理產品需求會比台灣更具迫切性。日本市場不論從時間和市場面看都是值得聚焦的市場。
韓國在保護資安產業是出了名的「壁壘」,要進市場就必須開放原始碼,透過民間的公協會可以彙整資安廠商的建言,政府機關主動向公協會要求提供政策制訂建議,在國外參展部分,都是由公協會帶隊組成「韓國館」,顯現出十足的團結力量大,的確值得我們借鏡。

台灣政府有心想做事的人不少,但限制很多,導致政府無力扶植產業,在規劃上更需要長遠的眼光,而非短期效果。M型化社會在台灣雖不明顯但已逐漸形成的狀況下,國內仍在醉生夢死,態度上不在乎終會導致欲振乏力。在整個台灣資安市場呈現養分不足、市場機制未明,使得人才缺乏投入的誘因,產學合作管道無法有效利用,產業無法生根,更遑論長出豐碩的果實。