韓流竄起,形成亞洲甚至是全球引領潮流的風潮,很多臺灣民眾只看到關於文創演藝事業蓬勃,當然,也看到韓國大型企業如何左右韓國的經濟發展,從各種韓流的經驗可以發現,政府往往扮演政策引領和推動方向的舵手,方向對了、政策定了,政府會扮演率先投入資源、壯大發展風潮,之後,各種民間資源就會跟著投入,也會造成百花齊放的景象。韓國政府的各種政策推動都是採用這樣的策略,包含資安人才的培育也是如此。
許多資安圈的人,都曾經耳聞過,韓國有一個資安人才培育計畫(Best of the Best,簡稱BoB)是由政府部門帶頭,以資源無上限的方式,開始培養韓國高中生和大學生對於資安領域的興趣與專長。這個BoB專案,從2010年開始執行,2012年正式招募,到2015年培養的資安人才,順利在全球駭客攻防殿堂DEFCON CTF奪下冠軍,人才培養成果豐碩。
讓這樣培育計畫得以超光速展開的幕後推手,就是曾擔任過4任反對黨國會議員、在2010年進入韓國特別公部門「韓國資訊科技研究中心」(KITRI)擔任第九任總裁的柳晙相(Yoo Joon-sang)。柳晙相日前代表韓國政府來臺參加第十四任正副總統就職典禮,也抽空和臺灣科技大學簽訂資安人才合作交流的備忘錄(MOU),未來臺灣資安人才培育計畫的師生們,都有機會進一步和韓國BoB專案的成員交流。這是臺灣第一次有機會直接觀摩韓國如何培育資安人才培育的作法,藉由參考其他國家的經驗,優化臺灣的作法。
資安攻擊已經對韓國帶來實質損失,韓國決議培養資安人才
柳晙相表示,韓國政府經歷過慘痛的教訓才決定培養資安產業,像是在2009年,包括韓國總統府青瓦臺、韓國國會在內的政府網站,都被植入惡意程式,當機好幾天;而在2011年,就有銀行的電腦系統遭到駭客入侵而當機,數萬臺電腦受到惡意病毒感染並遭到永久性的損害。這類網路攻擊究竟帶來多少實質損失其實不得而知,不過,根據韓國現代研究機構(Hyundai Research Institutes)的研究,光是2009年,韓國因網路攻擊造成的經濟損失高達3,370萬~5,050萬美金之間。而韓國網路安全中心(KISA)也曾經指出,光是來自韓國本土及國外的網路攻擊已經逐漸增加,網路攻擊的比例2011年比2008年則增加37%,成長幅度驚人。
根據統計,韓國大約有36萬間企業,對資安有意識的企業不到4萬間,BoB計畫希望最終可以培養至少1萬名優秀的資安人才,真正鞏固到韓國網際網路的安全性。
韓國BoB引進產官學資源,並建立輔導人才的導師制度
BoB專案從2012年正式招募至今,已經完成四屆培訓,培訓人數逐年增加,今年6月將招募第五屆BoB人才。2012年第一屆只培訓了60人,到了2013年第二屆招募時,恰好該年3月20日爆發了黑暗首爾(Dark Seoul)的網路攻擊事件,造成韓國銀行和電視臺總計48,700臺電腦被植入惡意程式破壞硬碟,造成電視臺中斷報導、銀行無法提款等資安事件,同年六月還有類似的攻擊手法出現。因此,柳晙相決定,將第二屆BoB甄選名額增加一倍,卻吸引了480名韓國白帽駭客來爭取120人的名額。後續第三、四屆招募人數也都持續成長,每年增加10個名額。
除了獲得政府資源大力支持外,更重要的是,BoB也直接和各種資安與IT相關產官學結合,像是包括韓國賽門鐵克、BlueCoat等跨國資安公司簽訂合作的備忘錄外,也和韓國在地的資安業者、IT業者、政府與政府投資的企業、創業支援中心以及相關的大學等簽署合作備忘錄,讓BoB的資安人才培育,永遠可以和最頂尖的技術發展與研究做整合。
除了引進產業界和學術界的資源外,BoB人才培訓的另外一項特色就是,建立所謂的「導師」(Mentor)制度,從第一屆開始,就會聘請資安業界中優秀的資安研究員,協助輔導這群培訓對象,除了提供技術上面的指導外,還包含未來職涯發展的協助。
BoB的訓練課程內容,除了基礎的加密學、作業系統安全、網路安全、法律以及相關的資安政策外,還包括了六大安全領域,包括:數位鑑識、資安諮詢顧問、弱點分析、行動裝置安全、融合式安全(Converged Security)以及雲端安全等。
先從基礎課程教起,慢慢篩選出有興趣、能力更好的學生來接受更難的訓練課程,每一屆最後都會挑出10個最優秀的學生,不只頒發2千萬韓圓(約臺幣55萬元)的獎金,還推薦他們進入資安公司或軍隊工作,。
進一步分析韓國BoB招募的人才分布比例,招收女生的比例從第一屆只有6.7%,隔年增加到10%,到了第三屆女生比例甚至高達18%。BoB透過鼓勵與培訓機制,也將資安專業知識推廣到女性。參與者以高中生、大學生和研究生為主,很少有超過30歲的培訓者,從年輕人開始培養對資安領域的專業,也讓資安有機會慢慢成為韓國資訊產業中的顯學。
韓國BoB的成功來自於整合行政、立法的支持力道
柳晙相從1980年代就積極參與行政體系相關的經濟與科技相關的委員會,對於資訊發展和應用也相當重視,加上長年擔任國會議員,從行政和立法的角度來看,都具有相當的影響力。韓國總統朴槿惠當選後還聘用柳晙相為國政顧問;為了獲得國會更多支持,柳晙相在國會中成立一個K-BoB論壇,讓國會議員對於資訊安全有更深入的了解,當然也會更願意支持相關的預算。
分析BoB計畫的成功,柳晙相功不可沒,除了政策方向的規畫正確外,因為了解行政部門的運作,加上兼具國會影響力,大幅降低推動BoB計畫時的阻力,需要預算大幅投入時,國會也會比較阿沙力地通過相關預算。
韓國BoB專案至少有10名專職人員,加上場地租金,不包含培訓資安人才時所需要使用的經費,不設限的資源投入,就已經讓人羨慕。反觀臺灣,在相關資安人才的培育上,即便政策方向是正確的,但是,政府相關的經費補助,只有20到100萬元不等,但中間繁瑣的稽核和報帳流程,光是將計畫人力用在寫政府報告上,就已經差不多了,幾乎沒有多餘的心力可以用來推廣資安人才培訓。
從臺韓的資安人才培育計畫做比較,兩者獲得的資源更是有如天壤之別,人才培育是需要長期的、大量的資源投入,臺灣小氣而謹慎的資源投入,並無法讓資安人才培育真正落地生根,對於臺灣長期的資安人才培育並沒有真正的幫助。或許,新政府在規畫相關的人才培育時,也應該正式各種經費和資源的投入,都應該是長期的才是。
本周(5/15~5/21)重要資安事件回顧:
※勒索軟體TeslaCrypt作者良心發現,免費釋出解密金鑰
※中國政府宣傳網軍「五毛黨」,估一年在中國社交網站有近5億則宣傳文
※Google的SMTP伺服器與Gmail 6月中將停止支援RC4與SSLv3
※新政府啟動第一天,專訪行政院科技幕僚長郭耀煌,暢談未來臺灣科技政策怎麼走
※韓國打造全球DEFCON CTF冠軍推手來臺,與臺科大簽訂合作備忘錄
※Linkedin資料外洩事件擴大, 將要求上億用戶重設密碼
※為防杜學生作弊,伊拉克不惜關閉全國網路,連3天早上考試都斷網
※Bitdefender:木馬感染90萬台裝置,透過殭屍網路進行點擊詐騙
※盜版列印終結者? IBM新專利讓印表機能禁止列印未授權內容
※Tumblr金鑰疑外洩,Yahoo將促受影響用戶換密碼
※調查:美國民眾對網路隱私及安全缺乏信心,恐累及網路交易、表達意願
※SWIFT警告:孟加拉央行遭駭並非個案
※Google Chrome第4季起將預設關閉Flash,僅暫時保留十大網域
※Google更新廣告政策,將封鎖「發薪日貸款」廣告
※Google修改VirusTotal病毒資料分享政策,資安業者不回饋就踢出去