https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

為什麼,需求資安? 專訪行政院資通安全處處長簡宏偉

2020 / 03 / 18
潘后儀
為什麼,需求資安?  專訪行政院資通安全處處長簡宏偉
二月十四日這一天,太陽露臉了,空氣的溫度漸漸暖和起來。早上九點半,當我們一踏進明亮的辦公室,就看到受訪者已經坐在辦公室內,馬上笑容可掬的起身歡迎我們前來,看起來受訪者已經待在辦公室內工作一段時間了,精神飽滿的他開口第一句話,「今天要聊些什麼呢?」 這句話,展開我們今日的對話。
 
回顧四年前,2016年8月1日行政院正式新設立資通安全處,由前國發會資訊處處長簡宏偉先生擔任資通安全處首任處長,主要任務負責資安政策的制定、資安工作的執行,以及推動資安產業的發展。距今四年期間,歷經2018年5月11日《資通安全管理法》三讀通過,2019年1月1日正式實施,實施至今已經屆滿一年,從母法的制定到各產業子法的細則,這其中歷程許多的修正、溝通、協調與督促,乃至今日的推動《資通安全管理法》所制訂的方向與內容,正逐漸朝向落實的目標。
 
今天我們的受訪者就是推動《資通安全管理法》的大舵手,行政院資通安全處處長簡宏偉先生。
 
今天,我們只聊一個話題: 為什麼,需求資安?
 
簡宏偉pic

轉換觀念,奏效變化
台灣科技的技術能量與製造能力在全球產業競爭上是有發展空間的,但是如何讓產業競爭力不是曇花 一現,而是與時俱進呢? 行政院資通安全處處長簡宏偉表示,我們從資安的核心來思考,以現階段的資安認知在各產業逐漸擴張,很熱門,但是我們又該如何將資安的觀感轉換成為企業投資的觀念呢?
 
簡宏偉處長以科技製造業為例,我們國內製造能力很強,可以製造出許多網路通訊設備的產品,但是如果每家網路通訊的製造商,當大家的產品功能都一樣時,我們則需要自問「我的產品競爭力在哪裡呢?」,通常一般製造業者會進行調整的方式,從售價開始,讓售價降低,管銷面則將製造技術、人力等等移出國內,移到低成本的國家區域,如此循環容易成為一片紅海,紅海不是一個健康樣態的產業,而是一個勞力密集的工業。


資安 = 投資
我們明白「產品品質」會是成為企業交易的最後關鍵籌碼。然而,「資安」又如何可以成為企業的關鍵籌碼? 且轉化大眾對資安的看法呢? 簡宏偉表示如果我們將「資安」視為投資,當產品製造業者也認同,當一個資安功能放進產品內,可以讓他們的產品與其他業者的產品,相比之下有顯著的差異化,同時讓自身的產品利潤提高了20%,那麼製造業者將會提升高度的願意,將資安功能納入產品設計製造中的一環。
 
整體的產業生態系統(Business Ecosystems)只有供給端願意這麼做,還不算完備,我們還需要需求端(產品使用端),能夠接受資安功能在產品中是重要且是被需求的觀念。如此,供給端與需求端彼此雙方有了共識後,產業生態系統的運作才會順暢與提升。

全民共識與協力是啟航
簡宏偉處長進一步說,其實不論是個人使用者,家庭使用者,中小企業,關鍵基礎設施,政府機關等,都會有資安的需求,如果企業不需要資安的時候,我們大家談這些都是唱獨角戲,資安產業起不來的,如果大家有共識真的需要資安,這個產業才會起得來。
 
我們需要回歸到企業本身的根基面,自問「為什麼我的企業需要有資安,需求在哪裡?」 因此,「需求」定義清楚,是為我們的首要。
 
簡宏偉處長謙虛的表示,《資通安全管理法》確實是從政府機關和關鍵基礎設施提供者,從法規面要求,且透過政府力量將此需求具體呈現出來,這算是半強迫性,同時也希望政府能先率先以身作則,成為示範指標,將「需求」拉出來,讓其他產業逐步跟進。處長不諱言,這些都還是屬於被動性的做法,因此在這種情況下,企業使用端依舊很難判定,企業本身的資安到底是不是做得完善,做得足夠,做得可以過關,此樣態對企業端(使用者)而言,資安還是成本的概念,非長遠重要需要的安全營運投資的觀念,因此非常需要供給與需求彼此有堅韌的共識與協力合作,才是我們真正的啟航。
 

產業自身核心的資安 不忽略
如何讓企業需求端充分理解,資安對他們是重要的,是必須去做的,而且還可以保護他們的資產,這才是他們的需求,簡宏偉處長清楚地舉例出幾個指標性的產業,例如高科技產業的營業秘密保護與目前最大的問題,IP智慧財產的保護;醫院醫療對個資的重視和病歷資料的保護;金融產業除了個資的保護外,還有交易上的保護;政府機關與關鍵資訊基礎則是敏感資訊的保護;廣面的雲端網路資訊的串流,尤其需要重視管理面的保護,另外企業內部的稽核與風險管控,則是需要認識外在的第三方如何協助企業,甚至輔導企業遵循制度將管理面做好。

處長更進一步表示,如果企業使用端能夠在逐步的理解情況之下,從需求端開始接受資安,讓資安成為公司治理的一環,位居公司組織內化的一部分,此刻的資安才會是企業關鍵的核心籌碼,也才是真的所謂回歸根基,長遠營運,不再成為沒有錢時,就成為先砍預算的對象,這也才是名符其實,落實資安需求的推動與資安產業的推動。
 

從認知走向接納,進一步落實
對話最後,簡宏偉處長回憶起過去四年,資安處成立時,當時為了讓大家認識資安,著重點在於鼓勵與督促,就是去做(just do it)。四年後的今日各界產業面與資安從業人員,無論在資安的觀念與技能上均趨於成熟與專業,因此,處長鼓勵企業產業們,下一步,回頭看企業本身,將認知面的資安、進一步走入接納面的資安。因為,當企業本身知道為何要做資安,也接受資安的重要性時,法遵的要求將不再是外在因素,而是企業內化的重要核心一員。

2020年,行政院資通安全處依舊敞開大門,與大家溝通與互動,同時也將持續執行與推動資安產業提升為永續的任務與使命。
 
這是一場很愉快的對談,處長清楚且聚焦告訴我們,為何需求資安,也點出目前大家困惑之處,也提醒我們先立穩自身,從關鍵核心處思考,同時從根基處深耕,逐步產生新生機。