資安院落實資料治理 全力守護臺灣資安
資安院將從安全、技術、主動、韌性、信賴等五大核心價值出發,建立安全、安心及安穩的數位環境,全力守護臺灣的國家資訊安全。
採訪/林振輝、施鑫澤‧文/林裕洋‧刊期/2023.05
隨著駭客組織將攻擊目標擴大到關鍵基礎設施,以獲取高額經濟利益,嚴重影響到國家的正常運作。其中,最著名案例莫過於 2021 年 5 月美國燃油管線營運公司殖民管線(Colonial Pipeline)遭到東歐駭客集團 ─ Darkside 的勒索病毒攻擊,由於嚴重影響到能源市場的供給,迫使美國白宮宣布進入緊急狀態。在資安事件升級到國安事件後,迫使各國政府持續推出更嚴苛的資安政策,如行政院在公布資安法之外,為提升國家資通安全科技能力、推動資通安全科技研發及應用,更成立國家資通安全研究院,現階段監督機關為數位發展部,展示政府重視資安的決心。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
國家資通安全研究院院長何全德指出,國家資通安全研究以「資料」、「系統」及「人才」三個方向,作為「資安治理」發展的基本方針,透過各單位共同實踐,協助完善國家資安治理工作。由數位發展部制定整體資安政策及目標,資通安全署則針對政府機關、關鍵基礎設施訂定資安政策並推動執行。資安院則以資安技術服務、技術研究發展、資安專業諮詢、資安行政協處、資安人才培力等各面向,透過與數位部、資安署之間合作,共同守護臺灣資安。
研發資通安全科技 推動資通安全技術應用
依據行政院公布的國家資通安全研究院設置條例,國家資通安全研究院業務範圍涵蓋「研發資通安全科技,推動資通安全技術應用、移轉、產學服務及國際交流合作、協助規劃及推動國家資通安全防護機制、協助政府機關(構)及關鍵基礎設施重大資通安全事件應變處置、協助規劃及支援國家關鍵基礎設施之資通安全防護、協助規劃及培育資通安全專業人才;推廣全民資通安全意識、支援具有特殊敏感性之政府機關(構)資通安全防護工作、支援產業資通安全重大發展及法規推動之需求」等等。目前資安院設有檢測防禦中心、威脅分析中心、通報應變中心、前瞻籌獲中心、國際合作及資安治理中心、人才培力中心等,整體規模約 170 人,2023 年可望擴增達到 220 人。
何全德表示,在國家資通安全研究院規劃的發展藍圖中,將依據各面向重要工作訂定四年績效指標,包含資安等級最高與次高的 A、B 級關鍵設施維運者皆納入情資自動化分享服務,確保政府網際服務網(GSN)骨幹流量皆納入情資分析範圍。此外,資安院也將協助所有 A、B 級機關及關鍵基礎設施提供者的資安治理成熟度,能達到 2 至 3 級(最高 5 級),以及搭配國際資安人才框架與國內人才需求,逐年協助政府完成 12 項人才職能基準,與培育超過 500 位高階實戰人才。
何全德說,資安院將從安全、技術、主動、韌性、信賴等五大核心價值出發,以「打造國際級資安韌性科研團隊,建立安全、安心及安穩的數位環境」為願景,達成「強化國家資安防護機制,提升智慧國家資安韌性」、「建立國家級資安團隊,確保數位國土安全」、「推動資安技術研發,促進產業資安發展」等目標。2023 年資安院工作重點,分別為機關資安輔導服務、重要系統資安檢測服務、個資事件協處與調查、推動零信任機制、全民資安意識推廣、資安人才培育等,達成,協助中央事業主管機關針對資外洩事件,進行相關行政檢查作業,找出發生資安事件的原因。
強化政府機關韌性 打造安全智慧國家
在機關資安輔導服務、重要系統資安檢測服務部分,主要是希望能強化政府機關與關鍵基礎設施的韌性,打造台灣成堅韌安全的智慧國家。光是 2022 年資安院已蒐整政府機關資安聯防情資達 85 萬件、檢測政府領域電子郵件數量 4.6 億封、發現逾 1,300 萬封可疑惡意電子郵件;發布資安警訊約 1,700 則等,而資安事件諮詢則約 2,700 次,預計 2023 年相關資安服務能量會再提高。
「在零信任機制成為主流下,資安院在數位政府司、資安署等指導下,也會針對重點機關進行輔導,提供長達三個月的技術協助,並針對重要系統做資安測試,全力提升臺灣的資安韌性。」何全德解釋:「我們將配合數位部政策,2023年以完成導入 T-Road 之 A 級機關為優先,2024 年完成全部 A 級機關導入零信任架構。」
減少個資外洩事件 力推一條龍服務
近兩年臺灣公私部門頻頻遭受駭客攻擊,不斷爆發各種嚴重資安事件,除高科技廠商遭到勒索軟體攻擊之外,與消費者生活相關的零售業、服務業,也因遭到駭客入侵,以致出現大量個資外洩事件,嚴重影響到民眾的權益。資安院認為企業不能在爆發資安事件後才處理,必須在平常即做好資安防護等工作,才能達到預防資安事件發生的目的,同時有助於拓展國際市場。受限於預算與人力,多數中小企業在爆發資安事件時,往往不可能像大型企業有能力自行解決。
特別是網路設備的漏洞問題頻傳下,讓美國聯邦貿易委員會(Federal Trade Commission,FTC)開始要求廠商進行第三方資安評估,以保護美國公民的資訊安全。換句話說,台灣廠商若要進軍美國市場,就必須證明產品符合相關規範,否則就可能無法拿到進口許可證,也凸顯出重視資安的重要性。
何全德說,2023 年 2 月某集團爆發 90 萬會員個資外洩事件,我們已配合經濟部商業司展開行政調查,釐清爆發資安事件的原因。此外,資安院也將以資安顧問的輔導角度,協助民間企業強化資安防護措施,最後更會進行壓力測試與資安檢測。」
引進歐盟資安職能分類 逐步培育資安人才
在資安事件備受專注下,全球資安人才缺口達到 270 萬以上。在台灣部分,隨著 2021 年底金管會透過修改公司法,要求上市櫃公司須設立資安長、專責資安團隊後,也讓臺灣資安人才荒更形嚴重,預估人才缺口超過數萬以上。若仔細分析箇中原因,肇因於過往學校並沒有專門培育資安人才的科系,才會在現今企業重視資安的狀況下,出現資安人才不足的窘境。然此類結構性問題不可能在短時間內解決,必須仰賴一套完善的人才培育制度,從短、中、長期方面投入,才能逐步解決此問題。
為此,資安院已與數位部資安署合作,引進歐盟的歐洲網路安全局網路安全技能框架,依照資安職務內容將資安人才分成 12 大類,分別是資安長、網路事件處理者、網路法規與政策合規長、網路威脅情報專家、網路安全架構師、網路安全稽核師、網路教育安全者、網路安全實施者、網路安全研究員、網路安全風險管理者、數位取證調查元、滲透測試者等。2023 年首先針對資安長、資安事件工程師等兩類人才進行開班培訓,預計與臺大、北科大等大學合作,期盼每年至少培養 125 位高階資安人才,力拼達到每年 150 位高階資安人才的最高目標。
何全德說,這就如同培育棒球運動員,必須歷經少棒、青少棒、青棒等制度後,才能進入到最後的成棒階段,培育資安人才也須循序漸進,必須有十年磨一劍的心態,才能逐步解決資安人才荒的問題。未來,考試院高普考也會有資安類科,屆時會加入上機實測制度,確保資安人才的符合產業所需。
配合臺灣AI政策 發展檢測方案與工具
因應人工智慧技術蓬勃發展,行政院國家科學及技術委員會推動成立臺灣人工智慧卓越中心(Taiwan AI Center of Excellence),做為跨部會整合及國際合作平臺。針對各界關心 AI 資安問題,美國國家標準技術研究院(National Institute of Standards and Technology,NIST)發布 AI 風險管理框架(AI Risk Management Framework 1.0),內容包含將可信賴的因素納入 AI 產品、服務和系統的設計、開發等,做為各界發展 AI 時強化資安防護的參考。
肩負國家資安防護機制規劃的資安院,將會依國科會發布的人工智慧科研發展指引,如共榮、公平性、非歧視性、自主權、控制權、安全性、個人隱私、可解釋性等,搭配 NIST 之 AI 風險管理框架,在安全性面向強化具體作為,深入研析相關 AI 安全性技術,期以可信任的框架檢視 AI,作為未來技術發展之基石。
[ 2023年企業IT投資重點為何?資安、人才、ESG如何部署?下載 CIO大調查報告 立即揭曉!]
何全德說,在目前 AI 技術蓬勃發展下,有兩大議題需要關注,分別為 AI 是否安全、利用 AI 加強資通安全。在 AI 相關應用範圍愈來愈廣,所以資安院首要工作之一,就是必須制定 AI 檢測標準與發展相關工具,並制定出一套對應的機制,讓企業可自行檢測自身使用的 AI 系統優劣。此外,將會提出的準確性、可靠性、客觀、安全防護、可解釋性等指引,協助政府、研究機構等發展一套可信任與安全的 AI 服務,我們必須扮演標準檢驗局的角色,制定一套制度標準規範,做為各界的評估規範。
另外,資安院正在打造一套 AI 框架,涵蓋產品資安及演算法的檢測等等,2023 年下半年將與工研院啟動相關計畫,有相關成果時會再向外界公布。在資安院規劃中,將會針對宣稱擁有資安功能的產品進行檢測,確認本身是否安全及可信賴。至於台版生成式 AI 部分,因為 2023 年底才會推出,預計可能 2024 年第 1 季、第 2 季進行檢測,確保符合國科會的指引。
資安院將基於人、資料、系統的基礎下,中期發展業務將朝向「持續精進情資蒐整分析、整合關鍵基礎設施資訊」、「推動關鍵技術轉移、整合 CERT/CC 通報機制,持續精進事件通報處理效率」、「形塑全民資安氛圍、完備公私部門資安人才培育」等三大方向,全力為臺灣帶來更多正向的發展,進而達成提升全民數位韌性的目標。
國家資通安全研究院院長何全德指出,國家資通安全研究以「資料」、「系統」及「人才」三個方向,作為「資安治理」發展的基本方針,透過各單位共同實踐,協助完善國家資安治理工作。透過與與數位部、資安署等分工合作方式,共同守護臺灣的資訊安全,強化國家資安韌性。
(本文授權非營利轉載,請註明出處:CIO Taiwan)