韓國資安人才教父柳晙相(Yoo Joon-Sang),不僅是韓國特別公法人韓國資訊科技研究中心(KITRI)第九任總裁,同時也是韓國頂尖資安人才培育計畫BoB(Best of the Best)的幕後關鍵推手,日前來臺時,則和臺灣科技大學簽訂資安人才交流合作備忘錄。柳晙相在接受iThome獨家專訪時表示,「BoB專案召募的人才,不僅要具備高超的技術、也必須要有職業道德,更需要是對國家忠誠的人,在國家發生危難時,才願意挺身而出。」柳晙相這樣的說法是非常有道理的,許多韓國的資安研究員及白帽駭客,甚至是資安業者等,不僅團結也很愛國。
由韓國政府主導,和民間共同面對重大資安事件,臺灣呢?
像是在2013年3月20日爆發黑暗首爾(Dark Seoul)資安攻擊事件時,當時管理韓國大多數網站的韓國電腦網路暨危機處理協調中心(KrCERT/CC),就是韓國國家網路安全局(KISA)轄下的一個管理韓國主要網路安全的單位,KrCERT/CC也在第一時間主動號召所有資安公司和資安專家,一起商討解決之道。
「在國家面臨資安威脅時,不分政府和民間,砲口全部一致對外,設法找出解決問題的方法。」這就是韓國資安圈的現況,也是為什麼韓國可以在320事件發生後,在最短的時間內,陸續恢復銀行、媒體等相關公司的主要系統,在一個月內全數恢復正常運作。
反觀近十多年來,臺灣在資安領域的發展上,一直是民間凌駕政府之上,即便民間缺乏豐沛的資源,但是透過許多資安社群和人才的交流及努力,也慢慢有一些成果出現。有許多白帽駭客和資安專家,即便平常對於相關資安體係有嚴格的批評,最終的目的,都是希望臺灣的資安防護可以越來越健全,甚至近年來,民間資安交流的範圍更屢屢擴展到其他世界各國。
至於臺灣的公務部門,則是從近兩、三年開始,因為政府部門最上層的主事者開始重視資安,慢慢的看到一些政府願意將資源再多投入一點在資安的領域上,雖然,整體成效還是需要更長的時間去累積,很難快速見效,但是,從一些社交工程演練的社交郵件開啟率逐年降低,某些層級的公務人員,也相當具有資安意識,這些都還有很大的進步空間。
臺灣政府和民間在資安方面的合作,一直都沒有比較好的合作類型,行政院前院長張善政在副院長任內首度釋出善意,「相信成功不一定要在政府自己,」開始不再每件事情、政策方向,都要由政府辦一個活動或研討會來彰顯其重視程度,政府終於可以單純的成為一個活動的宣傳者、支持者、贊助者、錦上添花者、雪中送炭者,卻不一定要是活動主辦者。
臺灣資安社群曾經在幾次重大的資安事件中評估過,如果臺灣面臨相同的災害,例如黑暗首爾的攻擊事件變成黑暗臺灣攻擊事件時,臺灣有辦法承受嗎?又得花多久時間才能復原呢?印像中,當時的評估都很悲觀,一旦政府的系統癱瘓,一個月內很難復原不說,許多銀行因為BCM(營運持續管理)做的也不夠落實,是否能在隔天,就恢復ATM提款讓人存疑外,要在一周內,銀行系統全數恢復正常,根據這群資安專家的評估同樣沒信心。
在評估的過程中,也凸顯一件事情,如果臺灣發生類似的重大資安事件,當時的專家們其都都難以確定,到底政府哪個單位才是這整起資安事件的主要負責人?又有哪個單位可以真正做到,跨政府各部門以及民間單位的溝通協調呢?
不過,這樣的隱憂,在新政府上任後,決定成立新的正式組織──行政院資安處,成為政府部門的資安專門機構,用來取代原本只是任務編組的行政院資通安全辦公室,而有了更好的解答。
接任資安處長要有2020年資安政策願景,也要能和國安辦協同合作
根據最新的消息來源,行政院也正在積極詢問接任資安處處長的適當人選,主要的工作內容,除了持續督導委由資策會負責的技術服務中心之外,也將聽命於科技政委,跨部會協調相關的資安事宜外,也必須要能夠和總統府國安會下設的國安辦,彼此有合作和支援的空間。近日內,也應該會隨著新組織一併對外公佈。
資安的推廣和重視,原本就是苦差事,尤其對於政府機關的人員,要把資安這件事情做好,除了必須要懂資安、懂政府組織運作外,也要有強烈的使命感和熱情,更重要的是,對於這個擔任第一個由政府部門成立的資安專責機構的主事者,我們也想知道他或她對於未來政策願景的規畫和想法是什麼,在接任者的藍圖中,有沒有2020年的資安政策願景?若要達成這樣的資安願景,現在的臺灣,還要把哪些環節漏洞,慢慢的接起來呢?
再者,資安防禦永遠無法靠單打獨鬥就可以成功,因此,未來資安處的接任者,除了聽命行事之外,也必須具備和各個政府部門以及民間企業、社群有協同合作的能力,而且,未來總統府國安會下設的國家安全辦公室,也會經手與國防、外交有關的網路攻擊和資安事件,資安處長和未來國安辦的執行長,也必須要有暢通的溝通管道,才不會因為資訊不透通,造成兩辦之間互動卡卡的,真的遇到緊急事件時,反而無法發揮兩辦協同作業的綜效,反而就可惜了。
除了資安處長應該很快就會對外公佈外,國安辦的執行長人選,如何選擇,也是一們大學問。
行政體系的資安處,負責政府和民間的資安事件,選才可以從公部門中找年輕一輩、對資安有熱情的人。但是國安體系,因為涉及國防、外交,甚至數位國土安全等更為機敏的事務,也會接觸到更敏感的跨國網路威脅合作事宜,加上總統蔡英文提及的第四軍種的相關規畫,都可能由國安辦承接或參與規畫時,要找到夠資格接任這樣具有挑戰性職位的人選,除了必須獲得層峰信任外,必須要有技術能量,也得有政策願景,同時能和資安處彼此協同作業外,難找人的另外一個關鍵因素在於,要避免軍係人馬的反彈,挑選難度真的比資安處長更高。
不過,當行政院資安處長確定後,國安會國安辦執行長應該也會在最短時間內公佈。屆時,不論是從政府、民間層級看資安,或者是從外交、國防領域看資安,都期待會有更前瞻的規畫與新氣象。
推動資安管理法是當務之急
資安處長人選敲定之後,必須開始面對一個很重要的關鍵一事,那就是要先健全臺灣既有的資安法規,已經延宕許久的資安管理法,也應該在最短時間內,送交立法院審查。
制定資安管理法是一種國際趨勢,不管是美國、日本、德國等,都先後制定與網路安全相關的專門法規,例如,美國在2014年制定網路安全強化法、國家網路安全保護法、網路安全勞動力評估法、聯邦資訊安全現代法,日本也在2014年制定網路安全基本法,德國則在2015年制定資訊科技安全法,各國作法殊途同歸,目的在於,透過法令的製定,讓公務機關、非公務機關以及關鍵基礎設施業者,在共同建構國家完整的資安體系時,有一個共通的參考依據,也藉此,維護臺灣網路空間的主權和國家安全。
目前,公務機關在資安也制定不同的行政命令,而非公務機關也有電腦犯罪防治專章作為規範,但這一切的法規,都不足以和現在網際網路技術快速演進得以接軌;更希望透過資安管理法專法的製定,可以賦予不同的資安牽涉到的主體,有相對應的責任和義務。
例如,包括公務機關以及非公務機關,應該負起什麼樣的資安責任和義務,以前沒有受到規範的關鍵基礎設施業者,因為牽涉到許多民眾的權益保障,透過這次的法律制定,也將相關業者納入規範的範圍中,可以在法律層次,從風險的角度出發,明定大家應該承擔的權利和義務時,都有助於未來整體數位國土的安全保障;至於應該如何落實資安防護,也都可以於法有據。
韓國法律有規定,各種企業都應該要定期做滲透測試,政府也會提供相對應的資安服務,也同時促進資安產業的發展,這樣的三贏狀態,則是未來希望推動資安管理法時,可以達到的立法效益。
上週(6/12~6/19)重要資安事件回顧:
※ 藐視法庭繼續濫發垃圾訊息,Sanford Wallace將坐牢30個月
※ Let's Encrypt不小心外洩逾7000筆客戶的電郵地址