第27任行政院院長張善政即將於5月12日行政院院會中,率領現任內閣閣員總辭,並預計在520之前,完成所有的交接項目。而張善政日前接受網路媒體直播訪問時曾經表示,他任內最痛心的事情就是,才在今年1月通過、4月掛牌的國家資安科技中心在掛牌不到一個月的時間就遭到廢止。
他更認為,廢止資安科技中心之後,是一種「親者痛、仇者快」的行為,他很清楚,中國政府鎖定臺灣持續發動的各種網路攻擊,他不會對中國政府有不切實際的想像,反倒是,現在臺灣內部對於國家的資安問題,卻遲遲沒有共識之際,中國網軍只會覺得更高興,反倒是給中國網軍有機可趁。
成立高階資安管理機構,籌建6千人的資通電軍
不過,根據準總統蔡英文在競選時候提出的國防與資安產業的政見中,她針對國防產業發展方向提出三個重心,除了以臺中、臺南以及桃園中科院為據點的航太工業,和以高雄、屏東、宜蘭等地方為基地的船艦工業外,第三個就是以臺北、新竹為基地的資安產業。
她也同時提出要成立「資通電軍」,成為陸海空軍之外的第四軍;並強調要以國軍先導,建立世界級資安攻防能力,配合資通電軍籌建進度,媒體報導,快最2019年成立,2024年全面運作,人數規模預計6千人。
至於,新政府也將自2017年起四年間,投入330億元提升國軍資安戰力,根據評估,2016年~2020年這些國防資安產業的商機,大約新臺幣2,500億元,可以增加8千個工作機會。
若再搭配成大電機系教授李忠憲幾次對外的發言可以發現,新政府在廢止資安科技中心之後,應該希望可以在行政體系內,重新成立一個不僅具備更高的授權層級,人力充沛且預算充足的新資安單位,不論是否是採用資安總處這樣的名稱,但的確可以看出,新政府對於未來負責國家資訊安全的單位的想像,與國防脫離不了關係,勢必會跟國安會接軌,把眼前的阻礙清除後,新資安單位的定位,更像是漫威漫畫或電影中的「神盾局」(Strategic Homeland Intervention、Enforcement and Logistics Division,國土戰略防禦攻擊與後勤保障局),能文能武又懂駭客攻防,感覺十八般武藝都得樣樣精通。
另外的證明,也可以從立法院每周公布的議事周報可以發現,在5月11日(三)立法院外交及國防委員會,由國民黨召集委員江啟臣召開的委員會會議中,便邀請國防部部長、國家安全局局長、行政院資通安全辦公室主任、行政院大陸委員會、國家通訊傳播委員會報告「從國防部成立第四軍種之必要性探討網路駭客之侵擾對政府及民間資訊安全防範之挑戰」,也同時請法務部、經濟部、交通部、科技部、內政部警政署列席並備質詢看來,新政府對於資安設定的範圍架構,的確是以國防角度出發。
國家最高資安機構應該可受民意監督
剛剛被廢止的資安科技中心之所以採用行政法人的形式設置,最主要是因為受限於政府組織改造後的法令規定,相關條文中便規定,政府組改後不可以新增機關,也不能新增員額,以致於無法在行政體系內,成立一個總責政府資訊安全的機關單位,便在折衷妥協下,資安科技中心才改成設立行政法人。
行政法人雖然不在政府體制內,但這是一個由中央目的事業主管機關、為了執行特定公共事務,依法成立的公法人單位,而所執行的業務也必須符合:具有專業需求或須強化成本效益及經營效能者;不適合由政府機關推動,亦不宜交由民間辦理者;以及所涉公權力行使程度較低者的規定。
若要質疑行政法人的合法性的話,大概就是層級太低可以讓人說嘴外,另外,或許還可以加上,按規定,主管每年只需要到立法院報告備詢兩次,讓人覺得與國家網路安全息息相關的資安科技中心運作模式,竟然不受民意監督,這也犯了立委大忌。
不論未來新的資安單位會是什麼模樣,有一些好的他山之石都可以參考。以德國為例,德國設立聯邦資訊安全辦公室(German Federal Office for Information Security)(德文簡稱BSI)負責德國的國家網路安全,提供聯邦政府相關的IT服務外,也同樣提供IT製造商、產業以及各種企業所需要的各種資訊安全服務。
其他像日本,則在內閣設立網際安全戰略本部(Cybersecurity Strategic Headquarter),其中則有一個專門處理資安事件的國家資安事件整備與戰略中心(National Center of Incident readiness and Strategy for Cybersecurity,NISC);新加坡政府則將原本負責全國資安監控、處理及預防工作的民間機構SingCERT,直接轉移成負責資訊通信部的Cyber Security Agency。
立法院應該儘速通過資安管理法
不過,資訊安全畢竟還是很新興的領域和技術,德國聯邦資訊安全辦公室早在1991年就成立,中間不論是技術或者是法規的斷層,都是需要透過時間,一點一滴的彌補起來。像是德國聯邦資訊安全辦公室的設置條例,則是在2009年才由德國聯邦議會通過BSI法(Act to Strengthen the Security of Federal Information Technology),並在2015年7月才通過資訊技術安全法,提供關鍵基礎建設保護(CIP)的法源基礎。
從德國的例子可以發現,好的法規會提供好的法源授權基礎,可以讓負責政府資安的單位,可以更清楚確認提供防禦和相關資安服務的範圍。因此,沒有先行通過資安管理法的上位法,成為廢止資安科技中心的原罪之際,對諸位立法委員「聽其言、觀其行」,能否以超高效率,在新政府上任後,立馬將相關的資安管理法送交立法院進行一讀後,再送交委員會進行審查。
並在委員會審查的過程中,好好討論臺灣的資安管理法究竟應該囊括哪些範圍,畢竟,資安管理法是跨公務機關及非公務機關的資安管理原則,比管理政府內部IT應用的資訊基本法更重要;加上,全球各國在網路(Cyber)空間的運作,都有專責單位負責,臺灣只能加快步伐,儘速跟上世界潮流。
資料外洩成為詐騙的助力,政府資安專家得向業界借將
更何況,資安做不好導致資料外洩,不僅成為詐騙的助力,也演變成不可收拾的司法主權爭議,甚至於,包括未來的數位創新、物聯網(IoT)、金融科技(FinTech),也會因為缺乏可供信任的穩定環境,而無法有更進一步的發展。
像是美國總統歐巴馬,也特別強調資安的重要性,在今年二月提出2017年的預算案時,除了從原本50億美元資安預算提高為190億美元,建立跨政府部門的隱私權委員會外,更首度在總統辦公室下設聯邦資安長職務,資安長直接向總統報告相關危害政府經濟與國家安全的資安事項。
不過,美國習慣向來會一些大公司借將擔任政府資安長,像是Google、PwC或是Deloitte等,而資安技術演進快速,資安團隊也必須有外界一流頂尖的駭客加入,才可能維持一定的技術水準。但是,像國安局之前想要對外招聘網路安全的專家加入,卻因為公務體系招募規矩複雜且繁瑣,最後沒有一個人報名,也使得國安局想要自行招募熟悉駭客技能的內部專業人士夢想破滅。
資安是治理職能,是全組織的事情
以臺灣最頂尖的晶圓廠大廠的資安治理方式為例,資安長是治理職能,和平常的經營團隊是有所區隔的,資安治理單位的授權直接來自董事會,而且不是單一部門的事情,是全公司都必須在意且落實的事情,全組織都有資安的KPI(關鍵績效指標)。
要保護組織專屬的資訊資產( Proprietary Information Protection),先問哪些資產需要保護,針對保護標的設立機密等級變化(Esclation or Degrade)後,再談如何控管,並開始做各種資訊分級(Information Classification),這就是美國國防部(DARPA)的安全調查(Security Clearance)概念。
如果臺灣的頂尖企業都這麼做,有更多機密等級更高的政府,在資安防護的作法上,怎麼能夠更落後呢?如果新政府高階的資安神盾局,可以從法規面、實務面都面面俱到,不論是不是由資通電軍負責所有政府資安事務,至少都值得期待。
本週(5/1~5/7)重要資安事件回顧:
※承認是中本聰後質疑聲四起,Wright不想再證明了
※Android手機及桌上版Opera瀏覽器內建廣告防堵工具
※全球遭殃!資安專家踢爆2.7億人Email憑證外洩,連Gmail、雅虎、微軟都受害