在當前地緣政治形勢快速變遷與新興科技不斷演進的時代,台灣如何有效強化關鍵基礎設施的資安防護力,並提高駭客的成本與門檻,以削弱攻擊意圖和減少攻擊頻率,已成為國家資安工作的核心議題。
數位發展部資通安全署副署長鄭欣明表示,防禦的核心在於提高攻擊者的負荷與成本,藉此降低攻擊意圖與頻率。為達成此目標,台灣致力於建構資安韌性,並透過資安保護架構與《資通安全管理法》推動風險管理、資安防護、持續營運與預備等四大要素,有效提升關鍵基礎設施的安全性。
資安防禦者常處於劣勢,總是被動應對各種未知攻擊。即便防禦策略和技術不斷創新,但攻擊手法卻也層出不窮,因此,提升攻擊門檻與成本將是防禦策略的關鍵。美國在2023年公告了《全國網路安全戰略》(National Cyber Security Strategy),台灣亦於2024年成立「全社會防衛韌性委員會」,期望將資安攻守的主導權逐步轉移至防禦方,藉此削弱攻擊意圖。
數位發展部資通安全署副署長鄭欣明指出,《資通安全管理法》修正草案目的在於強化台灣網路韌性,藉由更高標準的防護措施,為關鍵基礎設施建構更為堅實的防禦網。
傳統資安防禦思維著重於密不透風的防禦層,以杜絕可能的攻擊。隨著新興的攻擊手段與漏洞演進,封閉式防禦難以全面防範。因此,台灣在資安政策上引入「韌性」的概念,著眼於即使遭受攻擊,系統仍能穩定運行。防禦目標在於使防禦者在遭遇攻擊時能穩健應對,並讓攻擊者面臨更高的成本與代價。
為落實韌性策略,資通安全署推動風險管理、資安防護、持續營運及預備等四大方向,逐步提升國家資安韌性。以美國網路安全暨基礎設施安全局(CISA)的降低網路安全風險(CRR)策略、歐盟網路韌性法(Cyber Resilience Act)為借鑑,台灣現行的資通安全管理法為國內韌性建設奠定了法律基礎,並朝更高成熟度邁進。
鄭欣明進一步說明,台灣的資安策略架構由行政院和國安會進行指導與協調。國安會制定國家層級的資安戰略,從「資安即國安1.0」到「資安即國安2.0」,逐步強化全國資安防護。
行政院主導行政體系的資安發展藍圖,協助各部會配合資安政策進行發展。具體實施則由數位發展部轄下的資通安全署(資安署)負責,經行政院核定發布後執行。為因應資通安全環境的變化,行政院於2024年7月4日通過資通安全管理法修正草案,已送交立法院審查,待通過後將進一步強化資通安全的法制基礎。
依據資通安全管理法,台灣的公務機關及特定非公務機關(包括關鍵基礎設施)必須依照相關規範建立資安維護計畫、通報機制和應變流程,並接受資安署的稽核。資安署每年針對約20家關鍵基礎設施供應商進行稽核,確保其遵循資通安全法的13項規範。除稽核外,資安署也參照國際標準,逐步建立資安治理成熟度的評估機制,涵蓋滲透測試、漏洞修補等年度查核項目,以進一步提升整體資安的成熟度。