小英政府上任以來,一直揭櫫資安等於國安的政策方針,行政院也據此有許多的組織調整和政策修正配套的作為。過去一季以來,即便已經在八月一日於行政院正式成立資安專責機構資通安全處,但是,各部會面臨資安人才不足的議題,即便沒有正式浮上檯面上,卻一直是一個隱憂。
資安人才不足,大致可以從三個層面補強,第一個就是社群,第二個就是學校,第三個則是產業。目前學校和社群在資安領域的耕耘已經逐漸萌芽生根,反倒是產業對於資安人才的培養,企業主幾乎是雙手一攤,反而是回頭質問,為什麼學校不能事先幫忙產業培養產業需要的、立即可用的資安人才。
資安社群默默帶頭,凝聚資安人才
臺灣資安人才的培育一直呈現失衡的狀態,在10年前,資安還不是熱門議題時,連白帽駭客都被污名化,早在2005年,由資安讀書會Chroot成員出面舉辦第一屆的臺灣駭客年會(Hacks In Taiwan Conference,簡稱HITCON)時,連場地商借還必須講的很含蓄,以免讓人家誤會,這群人辦活動到底有什麼不良企圖。
不過,自從第一屆來了一百多名長期隱身在網路背後,且對資安有興趣的宅宅工程師後,也為第二屆之後參加HITCON的社群人數奠基,參與人數持續往上暴增,慢慢地,一般學校場地不夠用了,就得商借可以容納更多人的中研院場地,近年來也成為臺灣最大的資安社群盛會。
透過社群培養的技術人才,屬於自主性對資安攻防技術感興趣的人才,參加活動的社群成員,不只有單純的學生,和有許多在各種資訊產業工作工程師和對資安有鑽研的大大們參與,這些大大們除了拋磚引玉,分享自己的資安研究成果外,這樣的資安社群聚會,除了建立人脈之外,更吸引許多在資安圈工作的工程師們,將社群作為掌握國外最新攻防技術趨勢的技術交流平臺之一。
除了HITCON之外,近年來也有其他的資安社群紛紛投入資安人才的培訓計畫,包括The Declaration of Hacker(TDOH)、臺灣資訊安全聯合發展協會(ISDA)以及一些針對資通安全技術分享的「若渴計畫」等等,也讓更多對資安有興趣的學生、新鮮人或者是工程師等等,都可以有進一步學習和進修的機會。
學校接棒,暑期資安課程搭配導師制度培才
社群的能量為臺灣資安人才的培養奠定基礎,但是,臺灣科技大學資管系特聘教授吳宗成便坦言:「光只有社群這樣的培訓能量仍不足夠。」因此,他便向教育部爭取經費舉辦新型態資安暑期課程(Advanced Information Security Summer School,簡稱AIS3),去年首度試辦,只有在臺北舉辦一場;今年則同時在北、中、南三所大學同時舉辦。
這個AIS3暑期課程,採用事先徵選的方式,徵選出對資安有潛力、有天份的大學生進行集訓(今年度則首度有優秀高中生參與集訓),邀請美國、日本和韓國等國外一流的技術講師、臺灣HITCON戰隊成員,以及臺灣一流的資安研究專家等等,在最短的期間內傾囊相授,期能為參與學員灌注一甲子的功力;而在課程中表現傑出的學員,也會以專案計畫的優先補助方式,讓他們有機會到國外觀摩第一流的資安競賽,不僅提升個人實力,也有機會將這樣的實力回饋到學校課程,甚至是成為HITCON的接棒成員。
臺灣科技大學資工系助理教授鄭欣明從去年開始,也協助AIS3暑期課程的執行。他表示,在第一屆表現優秀的學員在今年觀摩美國DEF CON CTF資安競賽時,也在現場組隊,和其他全球團隊打現場舉辦的CTF比賽,首度比賽也獲得第11名的成績,從這樣的實際對戰經驗,對於這些學員未來參與更多CTF比賽都有極大的助益。
而邀請的講師中,包括來自日本的SECCON、韓國的BoB(資安菁英人才培訓計畫)以及美國PPP和臺灣HITCON等,都是一時之選。去年有來自美國CTF戰隊PPP的成員,今年則有來自日本SECCON的講師,以現在任職日本NTT資安平臺實驗室擔任網路安全研究員中島明日香為例,擅長逆向工程,從高中時期就對資安有興趣,2011年便參與日本CTF戰隊Sutegoma(現在更名為Binja)在美國DEF CON CTF的比賽,她是日本最年輕的CTF參賽者之一,現在也擔任日本資安團隊的導師。
吳宗成說,今年為了減少學生南北奔波,克服種種困難,就是希望讓北、中、南三區的學生,可以就近聽到世界第一流資安講師的課程,不必像去年一樣,中南部學生得花龐大的車錢和住宿費用,才能聽到有興趣的資安課程。
而為了讓這樣的學習能量可以持續,吳宗成表示,AIS3也引進韓國BoB的業界實務導師制度(Mentor),除了將表現傑出的學生以10人為一組進行分組,並將許多優秀的業界導師以5人為一組進行分組,並透過雙方媒合的方式,讓這些分組優秀學員可以跟一組導師做研究、討教,平常只需要把互動的Log記錄下來,預計在明年寒假時,就會舉辦一個研討會,讓這些學員發表過去這半年的研究成果,彼此砥礪。
吳宗成認為,目前AIS3已經開始打響招牌,也會成為對資安有興趣學生,每年暑假增進資安功力的重要進修管道之一,而和業界實務導師的合作,也讓學生的研究可以更貼近真實世界所面臨的威脅,對學生和業界都是雙贏的局面。
各產業應該考慮攜手成立資安人才培訓基地,自行培養各產業所需資安人才
但是,不管學校再怎麼努力培訓資安人才,各個產業對於資安人才殷切的需求都是不夠的。吳宗成指出,先前便聽過,有一些企業主就會質疑,為什麼學校不要幫臺灣各個產業訓練出「一畢業就可以用」的資安人才?但他認為,資安不是一種單一技能,反而是一種綜合技的人才,必須要同時具備多方面的專長和能力後,才可以綜合成具備資安能力的專業人才。
因此,吳宗成也不免想問:「當產業界質疑學校,為什麼不能幫忙產業培養出,一畢業就可以聘用的資安人才時;那臺灣各個產業對於培養自己需要的資安人才,究竟付出了哪些努力呢?各產業難道不應該為自己需要的人才做培訓嗎?不應該提供好的薪資福利環境吸引好人才投入嗎?為何產業界可以如此理直氣壯地,回頭質疑學校無法提供所需的人才呢?」
也因為曾經有這樣對於人才培訓的對話經驗,吳宗成認為,各個產業對於所需的資安人才培訓,反而可以借鏡臺灣對於金融人才培訓打造的金融研訓院,由跨產業共同合作,共同成立一個專門針對資安人才進行培訓的專業機構,可以聘請一流的技術人員和講師,除了定期發表最新的資安產業威脅情資報告外,也提供相關的資安訓練課程,作為跨產業,讓企業內的IT或者對資安有興趣的人員,進行相關的資安技能培訓的起點。
金融產業從法規和產業應用變化快,資安的威脅類型和攻擊手法變化多端也不遑多讓,吳宗成認為,臺灣各產業所需要的優秀資安人才,企業主不能只想要直接從學校拿到,畢竟不同產業有不同的專業,面臨的風險和威脅也不同,學校可以幫忙訓練的是,一個學生面對問題、解決問題的基本能力,其餘的技能,除了自我學習提升外,各產業也應該出面,開出所需要資安人才的規格,並透過產業的共同力量,真正培養出產業所需要的資安人才才是。
上週重要資安新聞(9/4~9/10):
※白宮任命Gregory Touhill為首屆聯邦資訊安全長
※飛安為上!美政府籲搭機時不要使用三星Galaxy Note 7或充電
※明年起Chrome將把含機密資訊的HTTP網頁標示為「不安全」
※英特爾獨立Intel Security業務,「McAfee」重現江湖
※【專訪首任行政院資通安全處處長簡宏偉】用資安打造數位國家後盾
※找人幫你駭入iPhone要多少?以色列駭客公司:10支110萬美元
※微軟抓漏獎勵擴大至.NET Core與ASP.NET Core
※蘋果、Mozilla等逾80組織聲援微軟控告美國政府違憲索取用戶資料