對於在臺灣資安社群耕耘12年之久的臺灣駭客年會,在12月1日舉辦HITCON Pacific的活動時,首度邀請總統蔡英文,以總統的高度闡述她對於資安政策的觀點,也特別提及到,政府與駭客不全然是對峙的,不僅可以有相互合作的機會,也可以對傳統科層的政府體制,帶來一些創新與衝擊。
新加坡總理李顯龍在10月的時候,也以總理之姿在資安活動的場合中致詞,正式對外宣示新加坡的國家級網路安全戰略;蔡英文則同樣選擇,有世界各國資安專家參與的場域,首度針對國家「資安等於國安」的政府政策公開致詞。
她在致詞中,將政府對於資安的想法大致區分成政策面和產業面,政策面的部份,除了有由中研院院士李德財擔任總統府國安會諮詢委員,負責國家資安管理方針外,行政院層級也成立資安處並推動資安管理法;在資安產業推動方面,她則強調,會透過建立資安規範、建構基礎資安防護和提升國軍資通電戰力的準備,提升資安內需市場的成長,有助於資安社群和企業投入資安研發,並和其他數位產業相輔相成。
從蔡英文的致詞已經可以發現到,政府部門已經意識到,國家的資安要做的好,就必須設法提升資安產業的產值,當資安產業可以自給自足,甚至蓬勃發展、對外輸出時,就不用擔心後繼無人投入,也不用擔心政策不銜接、技術斷層種種問題。
以色列政府先確定資安是國家發展方向,再投入資源和確立組織
一個國家要能有效推動落實資安政策,身為以色列國家網路局(Israel National Cyber Bureau,INCB)創辦人之一的Doron Tamir將軍,在臺灣駭客年會HITCON Pacific的綜合座談中坦言:「政府資安要做的好,政府的責任就是要讓國家的資安產業能賺錢。」產業的投資發展不是空穴來風,必須要有完善縝密的規畫,因此,以色列政府不僅願意把錢花在完善的規畫案,更願意率先把錢投資在國家的資安領域和產業發展上。
以色列和臺灣一樣,國家面積小、資源少,也缺乏足夠的人口紅利,加上,同樣面對對於自己有強大敵意的鄰近國家,面對這樣特殊的環境,國家為了生存,兩者都必須採取行動。因此,以色列政府必須先做最難的事情,就是要確定未來國家產業發展方向,當政策方向確定後,後面的預算、組織和作法才能隨即跟上。
Doron Tamir表示,以色列將國家生存視為第一優先,資安也是讓國家可以順利生存的重要政策之一,因此,以色列在相關的資安投資上,平均約為5%~8%的GDP,大約120億~150億美元。他也以色列防衛局(等同臺灣國防部)每年的預算為例,國防預算高達全國總經費的三分之一,「但是,資安預算占國防預算中相當高的比例,」
因為資安投資夠龐大,在面對國家需求和產業發展的時候,以色列政府比較不容易出現捉襟見肘的窘境,更不會出現,計畫做好了,但是因為相關的經費不夠甚至還未到位,反而必須犧牲原有的計畫,以符合跟計畫的錢和內容一致。一旦計畫有任何打折扣,我們如何得知,這個七折八扣計畫所產生的效益,其實就是原本應該有的效益?還是,已經是打折再打折後所獲得的效益呢?
再加上,如Doron Tamir所言,政府在投資資安時,第一優先的目標就是讓這個產業可以自給自足甚至是獲利的狀態,吸引更多人願意主動參與,成為蓬勃熱門的產業。也因此,政府只需要在一剛開始給予方向和經費挹注,等到這各產業已經可以有機的運作時,會有更多的人才和企業,願意主動投入這樣一個可以獲利並且具有前景發展的行業中,產業發展和人才與技術投入,就可以生生不息、找到最適合的發展之路。
因此,政府在制定資安防禦策略時,同時必需兼顧產業的健全發展,所以,以色列結合政府、產業、學術機構、大學與研發中心等,建構起緊密的生態圈,來協助新創發展,其中以色列全民從軍,就是資安產業界最佳的資安人才庫。
從以色列政府的經驗來看,一旦確定資安是國家未來重要的發展方向後,除了發展相關的軍事作戰的組織和蒐集相關的情報外,也積極發展資安產業,唯有國家和組織可以安全穩定的發展後,才可能造成正向的循環,相關的產業才能穩定蓬勃的發展。
最明顯的例子就是,當以色列政府開始將資安政策推動和產業發展視為國家的優先政策時,錢到位、組織就位、人和技術也都順利往正向的循環前進。這樣,就是國家透過政策鼓勵資安產業時,如何讓這樣的產業有好的發展的經過。
讓政府的資安預算,可以花在臺灣的資安業者身上
從以色列政府的經驗可以發現,國家資安要做得好,政府必須要砸錢投資,也必須有好的資安人才持續投入(韓國的資安菁英人才培育計畫Best of the Best是培育資安人才的經典計畫),更重要的是,資安產業必須要夠活絡,資安產業成為一個可以自己存活下來、生生不息的產業,資安才能做到可長可久。只是一味仰賴政府補助的產業,不僅長不大,甚至也活不久。
而臺灣的資安產業究竟應該如何活絡發展呢?我們也從一些資安業界的專家們,從自身的經驗以及看到國外現象予以在地化的調整作法,也匯集相關專家們的建議和作法,希望政府在未來規畫國家級的網路安全戰略時,想要真正落實國防和資安產業自主時可以參考。
目前得知,行政院明年的資安預算大約有16億多,而政府也要求關鍵基礎設施的業者,必須在未來4年,總計投入300億元的預算在資安領域上。在相關的政府投資上,比去年略微提升,而關鍵基礎設施業者的資安投資,將是未來資安產業能否持續發展的重要動力之一。
要怎麼把這些資安預算真正留在臺灣的業者身上,才是這些資安專家們,在思考臺灣未來資安產業發展時,最在意的重點。
之前便有聽聞,有某個單位編列1億元的資安預算,但是,該組織為了「有效」運用該筆預算,就把錢拿來採購思科或是Critix的閘道端設備,反正,買硬體設備最容易核銷預算,而且一億元的預算在一個月內全部執行完畢,所有的預算都流到外商業者和代理商身上,而臺灣的資安業者一毛錢都拿不到。
很多人會從產品的效能來看,擔心外商產品的效能才夠好,不過,也有資安專家提醒,如果臺灣的資安業者根本沒有足夠的場域練兵,趁機把自家提供給中小企業的設備升級為大機器的話,連資安設備的業者,都永遠沒有成長的一點。
首先,臺灣政府可以提供資安設備業者更具有挑戰性的場域,讓這些資安業者可以利用不同場域練兵,讓自己產品的效能可以逐漸長大。剛開始不見得可以直接取代外商資安設備,但可以透過練兵,慢慢的將資安產品部署到一些比較複雜的環境,慢慢提升產品效能,未來,才有機會成為重要的資安設備業者。
再者,軟體和人才才是資安最重要的核心,當俄羅斯為了確保國家的安全時,甚至決定自行用Linux作業系統改成一套俄羅斯專用的作業系統,臺灣目前有足夠的人才可以做這樣的事情嗎?答案肯定是沒有的。
臺灣不見得要做自己的作業系統,但是某一些產業應用上,卻可以鼓勵臺灣的資安業者協助做「客製化系統」,透過開發安全的客製化系統,可以讓政府的資安預算留在臺灣的軟體研發團隊身上,也可以促進產業的發展。
第三點,資安專家們認為,臺灣政府可以仿效以色列政府,透過鼓勵資安新創,藉此壯大臺灣資安產業。資安專家們進一步指出,臺灣有不少具備某些領域專長的資安人才,如果政府可以透過鼓勵資安新創的方式,協助解決所有開公司的瑣事,並提供足夠的補助經費維運這些新創公司,就可以讓這些資安人才,把技術落實在公司的產品上。資安專家們表示,一旦開資安新創公司後,業者就可以在不同的場域,慢慢培養並磨練相關資安軟體產品的效能,整個資安新創產業才有蓬勃發展的機會。
以色列政府鼓勵資安新創,選定對的標的,不怕這些公司倒閉或半途而廢,而是希望這樣的資安新創經驗,可以讓更多資安專家願意投入資安相關的產業經營和研發;政府則透過官方的貿易代表團,帶領這些資安新創業者,把這些資安軟硬體產品賣到全世界。
最後,還是要修改政府的招標方式。資安專家們表示,還是有許多標案是採用價格標,價低者得的情況下,這些資安業者當然不願意把時間和心力,花在這些不在意服務品質只在意價格的政府標案上,這樣的資安價格標情況下,政府部門當然不會有好的軟硬體產品和服務可以選擇。
目前,經濟部工業局已經有針對某一些資安標案是以最有利標的方式進行招標,但是,有許多公協會自己跳進來爭取這些標案再轉包的行為,則讓政府的美意大打折扣。要真的發展台灣的資安產業,政府的招標形式和心態勢必得有180度的調整才行。
日前剛結束的年度資安盛會HITCON Pacific中,包括以色列網路安全局創辦人Doron Tamir將軍(圖左4)和其他來自韓國、美國以及臺灣的資安專家們,共同分享對於政府資安政策推動和如何落實情資分享的心得。