多管齊下 推動台灣資安發展
鑑於駭客攻擊手法多元,且鎖定重要關鍵基礎設施,驅動全球資安產業快速成長。2016年行政院除將資安產業列入 5+2 創新產業之中外,也同步推動資安產業發展行動計畫(2018~2025年),期盼帶動台灣資安產業的蓬勃發展。
採訪/施鑫澤‧文/林裕洋
隨著於新興IT發展及網路服務普及,全球正面臨資安威脅與風險與日驟增的威脅,特別是駭客攻擊目標從企業延伸到國家的基礎設施,讓資安變成國安問題後,各國公私部門正意識到資安事件造成的嚴重性,因此對於資安防護需求與日俱增。根據Gartner公布的研究報告預估,未來全球資安市場規模將呈現持續成長的趨勢,預計2021年可突破1,460億美元,年成長率達到 8.4%。
鑑於駭客攻擊手法日益多元,且正透過各種管道突破防護網,在迎合「打造安全可信賴的數位國家」願景下,台灣資安產業扮演非常重要的關鍵。為此,2016年行政院除將資安產業列入 5+2 創新產業之中外,也同步推動資安產業發展行動計畫(2018~2025年),期盼透過多元政策協助與輔導,全力提升台灣資安產業的國際能見度,同時強化整體國家安全防護力。2020年,更進一步將資安產業列為六大核心戰略產業,政策重視程度不言可喻。
國發會產業發展處處長詹方冠表示,台灣以資通訊產品製造聞名全球,在物聯網產業及軟硬整合輸出上,也可望在市場占有一席之地,若能讓臺灣製造商品加入在資通安全設計上的品質保證,將能提升資通訊產業在全球市場的競爭力。另一方面,綜觀國際資安產業發展趨勢,新創公司是突破現行全球資安產業的無形障礙與成長力道的最佳管道,藉由吸引年輕資安人才加入,帶動資安新創公司的蓬勃發展,有利於年輕人一展所長。因此,台灣推動資安產業發展行動計畫的目標,就是要將建立全球資安產業創業基地‧打造臺灣產業優質品牌,讓台灣資安產業具備進軍國際市場的能力。
發展資安產業 台灣有先天優勢
台灣投入國際資安市場多年,只是長久以來多以硬體設備製造為主,其中約一半產值來自於網路與閘道安全產品。根據工研院IEK研究報告指出,在台灣資安產業生態系方面,模組與硬體相關廠商之產值占整體資安產值 57%,相較於全球資安硬體比重僅 11%。另外的 40% 硬體產值,來自終端資料防護產品,主要產品包括信任安全模組、指紋辨識模組等。特別是在網路與閘道安全產品方面,中小企業的防火牆、頻寬管理、防火牆路由器等,一直是資安產品的出口主力,其中又以歐洲電信商、東南亞等為主要出口地區,出口比重達 82.5%。
台灣要發展資安產業有不少先天優勢,首先是聚集完整的半導體產業鏈,包括材料、設計、晶圓製造、封裝測試等,加上發展多年完善的資訊與通信科技產業供應鏈,以此基礎發展資通安全、物聯網、智慧工業、智慧醫療、智慧農業等產業,將具有相當發展優勢。
其次,台灣資安社群活耀。近年在許多國際駭客大賽中,由來自各方的資安團隊均有非常出色的表現,顯示台灣民間資安攻防人才已有國際水準。在此基礎下,若能將資安產業與社群資源結合,吸引更多人才加入產業之中,結合系統化的培育人才,有助於擴大資安人才的數量與水準,自然可扮演資安產業創新能量來源的強大後盾。
詹方冠說,最後則是台灣因國際政經情勢特殊,經常成為被駭客鎖定的攻擊標的,根據統計全球約 25% 惡意攻擊最先在臺灣發現,甚至被暱稱為「全球資安靶場」。相對其他國家,可收集到的攻擊程式樣本非常多元且充沛,吸引不少國際大廠來臺廣蒐攻擊特徵及行為,藉此強化資安防護解決方案的完整性和創新性。台灣資安產業若能以此優勢基礎,掌握駭客的特殊攻擊模式,有望發展出資安利基產品。
產業以中小企業為主 發展資安隱憂
儘管台灣要發展資安產業已有不錯的基礎,但仍然有不少問題得先克服。首先,台灣資安廠商多數屬中小型企業,無論在人才、資金讓難面對國際大廠競爭,也導致內需市場偏好進口資安產品。在此狀況下,導致台灣資訊安全產業長期發展受限,以至於資安業者面臨留才、攬才等問題,因此自然需要政府在市場、技術與人才等給予協助。
其次,同樣受限於企業營運規模不大,亦至於在發展相關產品及服務時,基於成本考量常忽視資安設計的重要性,導致資通產品因資安風險而於行銷國際時受阻。另一方面,台灣中小企業的資安防護意識不高,不少公司對引進資安產品仍採取保守態度,以致內需資安市場之力道不大。另外,多數資安公司也產缺乏國際行銷資源,因此外銷市場多集中於亞洲地區,且僅有 35% 公司銷往中國大陸、馬來西亞、美國、日本與新加坡等地。
「就產品本身而言,由於台灣資安產業生態系缺乏場域、標準與資源,在欠缺大型實戰攻防場域淬煉下,資安產品在深度與成熟度等自然有待改進,與國際大廠競爭的難度很高。其次,台灣過去缺乏資安產業標準、測試規範,以及完整資安檢測認驗證制度,自然也成為競逐國際資安市場之阻礙。」詹方冠解釋:「在行銷方面,協助台灣資安產業接軌國際及站穩國際市場是必要之路,因此,我們也在思考協助資安廠商擬定國際輸出策略、協助新創業者進軍國際市場並擴大全球版圖。」
四大面向著手 建立資安標準
在綜合評估全球外資安產業發展情勢,及參考各界所提的相關建議後,資安產業發展行動計畫將以建立以需求為導向之資安人才培訓體系、「聚焦利基市場,橋接國際夥伴」、「建置產品淬煉場域提供產業進軍國際所需實績」、「活絡資安投資市場全力拓銷國際」等四項策略著手,以14項具體措施以逐步推展。
在打造台灣出口資通訊產品安全品牌形象的前提下,主關機關將參考國內外物聯網資安產業相關規範或準則,依據產品風險程度分級,優先將影響國家、重大民生項目發展為國家標準或產業標準。如此一來,當產業投入發展安全之資通訊產品時,便可得依循相關標準開發與製作,已強化自身產品之安全性,進而爭取到國際客戶的認同。
詹方冠指出,為此,我們協助法人或國內廠商建置符合前項所訂標準之資安檢測實驗室,建立針對各類型資安檢測設備及軟體(包含資通防禦檢測、網路接取檢測、智慧型行動裝置檢測、智慧聯網檢測、智慧卡檢測等)之檢測能量,鞏固實驗室基礎檢測技能,並提供資通產品資安檢測服務。
此外,在推動於 5+2 產業創新計畫、資安相關計畫等,如資安旗艦計畫、前瞻基礎建設計畫,以及政府辦理相關採購案時,將明定採購之資通訊及資安產品,應符合資安檢測規範或通過產品認證之需求。如行動APP基本資安檢測、網路攝影機資安檢測、無線路由器檢測等規範,也有處於促進業者推出符合資安規範的產品。
擴大資安預算 優先採購國產品
近年來,政府對台灣資安議題極為重視,也開始積極投入資安方面的預算,完善基礎資安環境與強化資安聯防機制,更重要的是甫通過的資通安全管理法,將賦予公務機關與特定非公務機關法遵義務,帶動整體資安需求。因此,在資安產業發展行動計畫中明定,超過10億元以上計畫,其中要有 5% 預算用於資安,1億元~10億元經費的計畫部分,則得需要有 6% 預算用於資安。至於低於1億元以下計畫,則需有 7% 預算花在資安。
雖然考量資安防護的前提下,在法規上沒辦法明定一定得要採購國產資安產品,但多數公務機關基本上都盡量以國產設備為主,除非該領域找不到合格廠商,才會採購進口品牌。希望藉此,達成兼顧政府機關的防護能量與扶植資安產業發展的雙重目標。當然,未來投注在資安經費的比例,也有拉高的可能性。其次,在協助臺灣資訊安全產業發展,提供相關企業營運發展所需資金,國發基金從2021年起匡列新臺幣30億元,讓符合資格的企業可申請。投資範圍涵蓋終端與行動裝置防護、網路安全、網聯網安全、資料與雲端應用安全、資安支援服務、資安營運管理服務、資安檢測鑑識顧問服務、資安系統整合等領域。
詹方冠指出,只要符合資格的業者,在計畫啟動後3年內均可提出申請。而且考量到企業實務面的需求,國發基金投資金額也放寬了過去不擔任該輪募資最大投資人的規定,改為其它民間出資總額不低於國發投資金額即可;如申請天使投資方案也無須一定要有天使投資人,期盼讓台灣資安公司可獲得更充沛的營運資金。
整合行銷資源 助產業進軍國際
台灣市場規模不大,臺灣資安產業必須運用自身優勢走向國際市場,才能建立長久的營運基礎。所以在資安產業發展行動計畫規劃中,也會參考國際資安大廠作法,投入相當研發經費及國際市場行銷費用,以建立國際化行銷輔導機制,協助廠商爭取國際輸出機會。
詹方冠表示,近兩年受到COVID-19疫情影響,目前國際行銷計畫推動的難度較高,除了協助業者參與線上展覽之外,我們也會評估扮演中介平台的角色。因為資策會、工研院、電腦公會等,過去也都會定期協助資安業者,參與各種國際展覽的活動,可惜彼此之間資源並沒有互補,所以創造效益也較小。未來我們會規劃與相關單位討論,看是否能將資源整併,以台灣館方式在國際展會中展出,讓台灣資安實力被全球看見。
整體而言,希望透過前述策略,搭配政府計畫投入一定比例之資安經費,帶動資安產業發展,並奠定2025年數位國家 DIGI+ 之穩固基石,打造安全可信賴的數位國家。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
