隨著《資通安全管理法》(資安法)於去年(2019)正式實施,許多資訊安全的要求提升至法律層級,政府組織全面轉型應對外部攻擊威脅,可預期在各個產業正積極發展的數位化應用場域中,資安將成為不可或缺的要角。
現階段台灣資訊安全的法律,已完整涵蓋國家層級、社會與政府組織層級、個人層級。行政院資通安全處處長簡宏偉說明,最高層級當屬《國家安全法》(國安法),對一般民眾則是《個人資料保護法》,至於過去原本未明確規範的社會與政府組織層級,在資安法施行之後已然補足,其核心理念在於風險管理,讓社會與政府組織了解何謂風險管理以及如何做到。「從這個角度切入,才得以讓相關單位選擇最合適的方式,來規畫實際的作為。例如制定維護計畫,必須由各個單位自行檢視潛在的風險標的,並且擬定可行性最高的維護方法。」
當政府完善法律規範之後,本土資安相關產業即可在市場上自由競爭,彼此學習與成長,藉此扶植產業發展。簡宏偉說明,發展初期是讓外商願意跟國內廠商合作,抑或是在台灣設立研發中心,讓學生畢業後就可以順利地銜接進入職場。同時也嘗試採用新創公司的技術,經過實際驗證後可進一步評估組成國家隊的可能性,打造世界信賴的資安系統及產業鏈。
建構有助於自由競爭的大環境
制度為何重要?被問到各界對中國製造產品與服務的疑慮時,簡宏偉指出,這本質上就是法制架構的問題。從法律層面來看,廠商必須遵守國家制定規範,例如防毒軟體本身就可能存在後門,只是在民主國家,防毒軟體廠商遵守法律,不能讓政府任意提取資料;然而專制政權的國家卻非如此,因此才導致不信任。
「實際上在評估安全性問題時,必須從制度面、管理面、技術面著手,但技術往往是最末端的項目。儘管各種防禦工事八成得仰賴研發技術來實踐,另外兩成的管理面與制度面卻更是關鍵。或許也有人質疑,民主國家製造的手機也會蒐集資料回傳到原產國,差別在於,法律制度根本不允許政府直接提取使用個人資料。」簡宏偉說。
欲透過技術手段來解決管理面、制度面問題,難度相當高,例如進口手機上市前接受檢測,只要找到安全漏洞經過修正後即可上市,問題在於上市以後的軟體更新無須再經過檢測,難以確保不會受到政府的要求而開啟後門。也就是說,如果原產國的制度本身就不夠安全,光靠對產品的檢測根本無法解決問題。即便被揭露後緊急發布修補更新,之後仍舊可能再次透過韌體更新時埋入後門程式,這也是其他國家也一致認為中國製產品與服務的資安風險較高之主因。
以戰略思維建立主動式防禦
資安法實施之後,透過PDCA(Plan-Do-Check-Act)循環持續改善與落實,仍是發揮資安效益的不二法門。針對政府機關整體資安防護方面,簡宏偉指出,目前正在積極朝向主動式防禦發展,而非僅停留在偵測到攻擊行為時加以阻擋,必須具備可預測的能力,並且要從戰略層級來看待資安事件,解讀攻擊活動真實的意圖。
當然這有賴資安相關團隊革新思維,不再只從技術的角度看待,而是以戰略思維來執行調查,進一步掌握發動攻擊活動的組織、背後的目的、研判接下來的目標,主動先行部署防護。只是如此一來,在人力條件的限制下,就得增添自動化機制來輔助執行。
若遭遇到的攻擊活動極具針對性,時間拉長後,防線遲早會有破口被發現,導致滲透入侵得逞。但即便資安情勢再嚴峻,也絕非無限上綱地增加人力與防禦機制就能因應,重點是讓資源得以提前一步,在攻擊活動尚未開始發動之前就予以鎖定追蹤與攔阻。這並不容易,簡宏偉不諱言,「我們正在思考怎麼做到,相信每個國家也都在找落實的方法。」
近期能源領域接連遭遇勒索病毒感染,尤其是中油,在資安事件剛發生時,社會大眾一片譁然,其中不乏負面評論。事實上,面對勒索病毒,關鍵在於最大程度降低損失、制定應變措施以縮短災難復原耗費的時間。中油這起事件導致的營運損失並不多,主要的衝擊在於民眾心理層面,簡宏偉強調,仍然有許多人的想法是投資建置資安防禦就不會被入侵,忽略了資安是屬於風險管理範疇,絕對無法達到百分之百,勢必得建立一套緊急應變程序,才有能力藉此降低實質造成的損害。
民主防疫成效凸顯台灣法治成熟度
資安制度本就是為了控管風險所設立,想當然耳,用來協助落實資安的相關產品與服務,其品牌信任度更是市場接受與否的關鍵。如今台灣對新冠肺炎防疫的成效受到國際間高度肯定,正好也為「台灣製造」進一步強化了品牌基礎。
台灣防疫措施之所以令歐美國家稱許,簡宏偉觀察,主要在於凸顯出民主制度在嚴守法律授權下執行各項作為,同樣可成功控制疫情。從疫情指揮中心發布的確診個案即可發現,實際上完全是以保障個人隱私為前提,只對少數無法釐清感染途徑的案例才有限度揭露進一步細節。「揭露細節的拿捏,就是我們跟其他國家不同之處,不僅依法保障隱私、維護人權,同時成效也可達到成功防疫。」
他身為疫情指揮中心資訊組成員,從新冠肺炎的防疫指揮中心成立的第一時間就已加入,便發現來自政府各單位的成員皆有相同共識,防疫優先的同時須確保不侵犯民眾隱私。特別是在三月左右疫情最緊張的期間,大眾強烈要求公布確診者詳細資料時,指揮官承受相當大壓力,堅決不跨越底線,這才是台灣民主法治最難能可貴之處。若防疫成功是建立在如同非民主國家般罔顧人民隱私,就沒有那麼特別了。
能在嚴守制度及倫理規範的界限內,發揮效率和執行力來實現技術創意,進而達到優異的成效並持續改善,這可是相當高水準的治理。資安與防疫在本質上有許多極為相似之處,台灣的民主法治,或許正是資安產業擴展國際信任的基石。
不侵犯隱私的概念,同樣也落實到行政院跟台灣人工智慧實驗室(AILab)合作開發出的「台灣社交距離App」,這也是超前部署的項目之一,以防第二波疫情捲土重來時,才不至於措手不及。