1.媒体来源:
ITHOME
2.完整新闻标题:
新政府将打造高阶的台湾资安神盾局
3.完整新闻内文:
准总统蔡英文和准内阁团队,将资安视为国防产业一环,也打算建立人数规模达6千人的
资通电军,作为未来国家资安实力的后盾。
蔡英文脸书
第27任行政院院长张善政即将于5月12日行政院院会中,率领现任内阁阁员总辞,并预计
在520之前,完成所有的交接项目。而张善政日前接受网络媒体直播访问时曾经表示,他
任内最痛心的事情就是,才在今年1月通过、4月挂牌的国家资安科技中心在挂牌不到一个
月的时间就遭到废止。
他更认为,废止资安科技中心之后,是一种“亲者痛、仇者快”的行为,他很清楚,中国
政府锁定台湾持续发动的各种网络攻击,他不会对中国政府有不切实际的想像,反倒是,
现在台湾内部对于国家的资安问题,却迟迟没有共识之际,中国网军只会觉得更高兴,反
倒是给中国网军有机可趁。
成立高阶资安管理机构,筹建6千人的资通电军
不过,根据准总统蔡英文在竞选时候提出的国防与资安产业的政见中,她针对国防产业发
展方向提出三个重心,除了以台中、台南以及桃园中科院为据点的航太工业,和以高雄、
屏东、宜兰等地方为基地的船舰工业外,第三个就是以台北、新竹为基地的资安产业。
她也同时提出要成立“资通电军”,成为陆海空军之外的第四军;并强调要以国军先导,
建立世界级资安攻防能力,配合资通电军筹建进度,媒体报导,快最2019年成立,2024年
全面运作,人数规模预计6千人。
至于,新政府也将自2017年起四年间,投入330亿元提升国军资安战力,根据评估,2016
年~2020年这些国防资安产业的商机,大约新台币2,500亿元,可以增加8千个工作机会。
若再搭配成大电机系教授李忠宪几次对外的发言可以发现,新政府在废止资安科技中心之
后,应该希望可以在行政体系内,重新成立一个不仅具备更高的授权层级,人力充沛且预
算充足的新资安单位,不论是否是采用资安总处这样的名称,但的确可以看出,新政府对
于未来负责国家资讯安全的单位的想像,与国防脱离不了关系,势必会跟国安会接轨,把
眼前的阻碍清除后,新资安单位的定位,更像是漫威漫画或电影中的“神盾局”(
Strategic Homeland Intervention、Enforcement and Logistics Division,国土战略
防御攻击与后勤保障局),能文能武又懂骇客攻防,感觉十八般武艺都得样样精通。
另外的证明,也可以从立法院每周公布的议事周报可以发现,在5月11日(三)立法院外
交及国防委员会,由国民党召集委员江启臣召开的委员会会议中,便邀请国防部部长、国
家安全局局长、行政院资通安全办公室主任、行政院大陆委员会、国家通讯传播委员会报
告“从国防部成立第四军种之必要性探讨网络骇客之侵扰对政府及民间资讯安全防范之挑
战”,也同时请法务部、经济部、交通部、科技部、内政部警政署列席并备质询看来,新
政府对于资安设定的范围架构,的确是以国防角度出发。
国家最高资安机构应该可受民意监督
刚刚被废止的资安科技中心之所以采用行政法人的形式设置,最主要是因为受限于政府组
织改造后的法令规定,相关条文中便规定,政府组改后不可以新增机关,也不能新增员额
,以致于无法在行政体系内,成立一个总责政府资讯安全的机关单位,便在折衷妥协下,
资安科技中心才改成设立行政法人。
行政法人虽然不在政府体制内,但这是一个由中央目的事业主管机关、为了执行特定公共
事务,依法成立的公法人单位,而所执行的业务也必须符合:具有专业需求或须强化成本
效益及经营效能者;不适合由政府机关推动,亦不宜交由民间办理者;以及所涉公权力行
使程度较低者的规定。
若要质疑行政法人的合法性的话,大概就是层级太低可以让人说嘴外,另外,或许还可以
加上,按规定,主管每年只需要到立法院报告备询两次,让人觉得与国家网络安全息息相
关的资安科技中心运作模式,竟然不受民意监督,这也犯了立委大忌。
不论未来新的资安单位会是什么模样,有一些好的他山之石都可以参考。以德国为例,德
国设立联邦资讯安全办公室(German Federal Office for Information Security)(德
文简称BSI)负责德国的国家网络安全,提供联邦政府相关的IT服务外,也同样提供IT制
造商、产业以及各种企业所需要的各种资讯安全服务。
其他像日本,则在内阁设立网际安全战略本部(Cybersecurity Strategic Headquarter
),其中则有一个专门处理资安事件的国家资安事件整备与战略中心(National Center
of Incident readiness and Strategy for Cybersecurity,NISC);新加坡政府则将原
本负责全国资安监控、处理及预防工作的民间机构SingCERT,直接转移成负责资讯通信部
的Cyber Security Agency。
立法院应该尽速通过资安管理法
不过,资讯安全毕竟还是很新兴的领域和技术,德国联邦资讯安全办公室早在1991年就成
立,中间不论是技术或者是法规的断层,都是需要透过时间,一点一滴的弥补起来。像是
德国联邦资讯安全办公室的设置条例,则是在2009年才由德国联邦议会通过BSI法(Act
to Strengthen the Security of Federal Information Technology),并在2015年7月
才通过资讯技术安全法,提供关键基础建设保护(CIP)的法源基础。
从德国的例子可以发现,好的法规会提供好的法源授权基础,可以让负责政府资安的单位
,可以更清楚确认提供防御和相关资安服务的范围。因此,没有先行通过资安管理法的上
位法,成为废止资安科技中心的原罪之际,对诸位立法委员“听其言、观其行”,能否以
超高效率,在新政府上任后,立马将相关的资安管理法送交立法院进行一读后,再送交委
员会进行审查。
并在委员会审查的过程中,好好讨论台湾的资安管理法究竟应该囊括哪些范围,毕竟,资
安管理法是跨公务机关及非公务机关的资安管理原则,比管理政府内部IT应用的资讯基本
法更重要;加上,全球各国在网络(Cyber)空间的运作,都有专责单位负责,台湾只能
加快步伐,尽速跟上世界潮流。
资料外泄成为诈骗的助力,政府资安专家得向业界借将
更何况,资安做不好导致资料外泄,不仅成为诈骗的助力,也演变成不可收拾的司法主权
争议,甚至于,包括未来的数位创新、物联网(IoT)、金融科技(FinTech),也会因为
缺乏可供信任的稳定环境,而无法有更进一步的发展。
像是美国总统欧巴马,也特别强调资安的重要性,在今年二月提出2017年的预算案时,除
了从原本50亿美元资安预算提高为190亿美元,建立跨政府部门的隐私权委员会外,更首
度在总统办公室下设联邦资安长职务,资安长直接向总统报告相关危害政府经济与国家安
全的资安事项。
不过,美国习惯向来会一些大公司借将担任政府资安长,像是Google、PwC或是Deloitte
等,而资安技术演进快速,资安团队也必须有外界一流顶尖的骇客加入,才可能维持一定
的技术水准。但是,像国安局之前想要对外招聘网络安全的专家加入,却因为公务体系招
募规矩复杂且繁琐,最后没有一个人报名,也使得国安局想要自行招募熟悉骇客技能的内
部专业人士梦想破灭。
资安是治理职能,是全组织的事情
以台湾最顶尖的晶圆厂大厂的资安治理方式为例,资安长是治理职能,和平常的经营团队
是有所区隔的,资安治理单位的授权直接来自董事会,而且不是单一部门的事情,是全公
司都必须在意且落实的事情,全组织都有资安的KPI(关键绩效指标)。
要保护组织专属的资讯资产( Proprietary Information Protection),先问哪些资产
需要保护,针对保护标的设立机密等级变化(Esclation or Degrade)后,再谈如何控管
,并开始做各种资讯分级(Information Classification),这就是美国国防部(DARPA
)的安全调查(Security Clearance)概念。
如果台湾的顶尖企业都这么做,有更多机密等级更高的政府,在资安防护的作法上,怎么
能够更落后呢?如果新政府高阶的资安神盾局,可以从法规面、实务面都面面俱到,不论
是不是由资通电军负责所有政府资安事务,至少都值得期待。
4.完整新闻连结 (或短网址):
http://www.ithome.com.tw/news/105809
5.备注:
※ 一个人一天只能张贴一则新闻,被删或自删也算额度内,超贴者水桶,请注意