1.媒体来源:
iThome
2.完整新闻标题:
澳洲智库公布亚太地区网络安全成熟度报告,台湾首度入榜排名第九
3.完整新闻内文:
澳洲智库针对亚太地区25国进行“网络安全成熟度”排名,台湾在政府成立资安专责组织
以及资安立法上的努力获得肯定,而个人连网率仅次于日韩、优于美国
文/黄彦棻 | 2018-03-09发表
亚太地区包含台湾在内的网络成熟度究竟如何呢?澳洲智库澳洲战略政策研究中心(The
Australian Strategic Policy Institute,ASPI)的国际网络政策中心(
International Cyber Policy Centre,ICPC),先前公布一份针对南亚、北亚和东南亚
、南太平洋和北美的25个国家所做的“2017年亚太地区网络安全成熟度(Cyber
Maturity Metric)分析报告”。
这是澳洲智库从2014年开始,连续第四年所做的报告,而台湾以及太平洋岛国瓦努阿图(
Vanuatu)首度在2017年纳入被评选的对象,台湾并获得整体网络安全成熟度第九名的成
绩,在评选的五个指标中,包括:治理面向、网络犯罪面向、军事应用面向、商业面向以
及社交活动上等五个指标、十个问卷题目。
在治理面向的政府组织部分得分最高,加权之后拿到6.4分(原始得分8分),其次为社交
网络面向中的个人连网率,加权之后得分6.3分(原始分数9分),表现最差的是国际网络
参不力,加权得分为2.1分(原始得分3分),次差为对外提供网络安全服务的CERT(电脑
危机处理小组)功能不彰,加权得分为2.4分(原始得分3分)。
国家安全会议咨询委员李德财表示,在评比的过程中,政府组织和政策得分较高,跟总统
蔡英文“资安等于国安”的政见逐步落实,并且积极打造网络第四军种以捍卫网络空间的
安全性,积极推动资通安全管理法等资安专法有正面相关。他认为,在得分较差的部份,
也是接下来台湾可以努力的参考方向。
亚太各国积极成立资安专责机构和推动资安立法
虽然澳洲战略政策研究中心的国际网络政策中心透过制度“网络安全成熟度指标”,来评
估亚太各国的网络安全成熟度,但除了连网比例之外,其他更多还包含网络安全的组织、
政策等面向在内。
这份报告也进一步分析亚太地区各国的网络安全成熟度发展趋势,该份报告从各国政府角
度出发,观察治理是否成长、军方在网络空间的投入是否增加、国际参与是否积极、商业
经济是否提升,以及是否有能力因应网络犯罪等面向,作为评估各国的网络安全成熟度指
标。
就政府治理的部份,可以看到各国政府陆续推出各种新的网络或资安专法,也有许多政府
组织的配合调整。李德财表示,积极成立政府资安专责组织和资安立法的的推动和制定,
是台湾近年来在推广资安的努力成果之一。
举例而言,台湾积极推动的资安立法“资通安全管理法”目前已经出委员会等候排入朝野
协商中,但其他亚太国家在资安专法的制定上,有些国家颇有进展,像是越南准备进行“
网络安全法(Law on Cybersecurity)”草案的立法;日本也已经进行个人资料保护法的
修法;中国的“网络安全法”则于2017年6月1日正式实施;澳洲也在今年正式实施“资料
外泄强制通报法”((Australia’s mandatory data breach notification law)。
在网络与安全的组织架构上,台湾在2016年8月1日于行政院成立资通安全处的资安专责单
位,泰国则想成立国家网络安全委员会(National Cybersecurity Committee);印尼也
成立一个新的网络机构Badan Siber dan Sandi Negara;澳洲在网络安全战略方面,除了
任命第一位网络大使(Cyber Ambassador)外,更强化澳洲网络安全中心(Australian
Cyber Security Centre)的功能。
亚太各国积极打造网军,并强化国际参与深度
根据报告分析,美国在2016年的选举受到俄罗斯有心人士的干涉,加上2017年造成全球影
响性的WannaCry以及NotPetya勒索蠕虫的攻击,虽然有许多指控都认为,这类攻击是来自
国家级的网络攻击,但因为无法有证据证明,都只能存疑。
但存疑的同时,却不妨碍亚太各国积极建立网军,李德财表示,台湾就在去年六月底成立
网军第四军种资通电军指挥部,希望积极招募优秀网络人才从军。除了台湾之外,澳洲也
积极成立资讯作战部门(Information Warfare Division),就是澳洲国防部的网军,负
责相关的网络攻防战,人数招募预计达到900人;美国则是将网络司令部(Cyber Comman
)作为统一的网络作战部队;另外,为了确保日本在2020年举办东京奥运的安全性,日本
也预计将网络部队从原本的90人,增加到1千人,成长一百倍以上。
国际参与一直是网络世界很重要的环节,包括美、日、澳等国都相当看重网络安全战略,
为了避免网络战争一触即发,都积极在进行多边或双边的网络合作或是网络互不侵犯的条
约签订等作为;而打造CERT(电脑危机处理小组)也有助于各国的国际参与。
最具体的例子就是,中国和美国与英国于2015年分别签订保护智慧财产权的双边协议;中
国也于2017年和加拿大及澳洲签订双边协议等等。另外,太平洋岛国像是东加王国,则加
入“布达佩斯网络犯罪公约”(Budapest Convention on Cybercrime)强化对抗网络犯
罪的能力;而有线电视网络也可以加强太平洋岛国对外的网络联系;但相关国家组成的
PacCERT因为缺乏资金处于停摆状况,无法有效运作,也削减太平洋岛国对抗网络威胁的
能力。
网络发展也带动经济成长,网络犯罪成隐忧
报告中指出,亚太地区2017年经济成长率高达5.5%,而网络发展就是带动高经济成长率
的动力之一,但也同时面临确保安全可靠网络环境的同时,如何在医疗、教育和网络等基
础设施之间获得平衡,是必须要克服的挑战。
不过,采用新兴的网络技术也有助于创造新的经济模式,也有助于提升经济发展。举例而
言,非洲巴布亚新几内亚有85%的民众没有银行存款,但随着行动网络3G的普及,该国可
以采用类似肯尼亚在手机上使用的M-Pesa行动金融系统,也可以考虑使用App进行行动支付
,像是中国微信的作法,都是借由新兴网络科技带动国家经济发展的实例。
其他像是美、日、澳等已开发国家已经有发达的网络环境,但对于相关网络安全人才却仍
是很大的缺口,迟迟不能获得满足,资安人才的培育一直是网络发达国家面临的缺口,像
是日本面对2020年的东京奥运会和残障奥运会可能带来的潜在网络威胁一直很谨慎,也积
极培养相关的网络资安人才,但其他国家即便有相关资安人才缺口,如何补齐仍是极大挑
战。
网络犯罪已经是各国难以忽视的犯罪型态,网络安全成熟度高的国家,透过该国警方跨国
以及跨境的合作,打击金融网络犯罪以及身分窃盗等网络犯罪议题;但网络安全成熟度较
低的国家,则会借由打击网络犯罪的理由,作为审查网络言论的借口,但其实更应该关注
的应该是线上赌博或是线上色情、网络霸凌等议题,对各国网络安全发展带来的后遗症。
报告中也提到,很多网络犯罪的骇客集团也都会以一些对于网络犯罪罪刑较轻、或是执法
能力较弱的国家作为犯罪据点,所以在2017年,美国FBI(联邦调查局)就和中国联手,
就以柬埔寨和斐济为据点的中国网络罪犯遣返中国接受审判,澳洲也同时与中国分享相关
的网络犯罪后设资料(Metadata),协助打击网络犯罪。
美国成熟度排名第一,台湾第九名在政府组织和连网率有优势
这份报告从治理面向、网络犯罪面向、军事应用面向、商业面向以及社交活动上等五个指
标,设计出十个问卷题目,并以1分到10分表示重要性,1分表示“一点也不重要(Not
Important At All)”,10分表示“非常重要(Extremely Important)”,并以不同的
权重得出25个亚太地区国家的网络安全成熟度的评分,
在总共25个国家中,排名前一名国家是美国,澳洲与日本并列第二名,新加坡排名第四名
,韩国名列第五名,其余第六名到第十名国家排名分别是:新西兰、马来西亚、中国、台
湾以及印度,台湾首度纳入排名就名列第九名。
美国虽然在2016年的总统大选遭到网络假新闻的干扰,在2017年仍是亚太地区国家网络安
全成熟度排名第一名,尤其是政府治理的组织面向上,加权得分高达8.0分(原始得分10
分),是所有国家中得分最高的对象;美国在对抗网络犯罪的手法上,获得加权分数7.8
分(原始得分10分),也是所有国家中得分最高;另外得分最高的项目则是军事应用面向
,加权得分6.8分(原始得分10分)。
美国政府在总统川普上台后,也同样颁布一道加强网络安全防御的行政命令:“加强美国
网络安全与能力(Strengthening US Cyber Security and Capabilities)”,并要求对
美国针对网络安全进行60天或100天的安全评估;至于美国联邦预算网络安全支出与2016
年预算相去不远,大约190亿美元上下。
美国相对得分较低的项目就是在“资安立法”的项目上,美国在该选项的排名,仅次于有
积极进行网络安全战略的澳洲与修订个人资料保护法的日本;网络国际参与的部份则次于
日本;类似CERT组织的功能发挥,美国则次于日本和澳洲;数位经济活动对于经济发展的
助益上,美国次于新加坡和新西兰;个人网络连网率的部份,美国次于第一名的韩国和日
本,第二名的澳洲、新西兰、新加坡和台湾。
台湾第一次被纳入这份亚太地区网络安全成熟度的调查,其中,在政府治理面向中,台湾
有专责的资安组织有很大的加分,例如,在2001年就成立跨部会的资安会报,2016年总统
蔡英文上任后,对于网络安全更为重视,直接喊出“资安等于国安”的政策方针,并于
2016年8月打造专责的政府组织行政院资安处;2017年6月底成立第四军种资通电军指挥部
;并积极推动资安立法“资通安全管理法草案”,目前已经通过立法院委员会的讨论,等
候排入院会朝野协商的议程。这些政府资安组织的成立与运作,是台湾在网络成熟度评比
的优势。另外,台湾在网络连网率也获得极高的得分,仅次于连网率最高的韩国和日本,
与澳洲、新西兰与新加坡并列第二名,甚至优于网络安全成熟度整体排名第一名的美国。
网络安全已经不是单一国家的事情,已经衍生成区域性甚至是全球性的资安事件,因此,
要解决网络安全带来的各种威胁,往往需要更深度的跨国与跨境合作,前提就必须承诺有
更深度的国际参与。从该份网络安全成熟度的调查排名中发现,因为中国的政治干预,台
湾很难获得各种国际CERT组织的会员资格,也有害台湾的网络国际参与。所幸,台美在
2016年5月签署强化两国网络安全合作的意向书,并于同年举办第七届亚太地区互联网
治理论坛(7th Asia–Pacific Regional Internet Governance Forum in 2016)。但整
体而言,台湾在网络国际参与的深度和频率都嫌不足,这也是整体得分最低的项目。
得分次低的项目则是:网络安全服务的CERT(电脑危机处理小组)功能不彰,台湾有技服
中心成立的TWNCERT,主要协助政府部门资安事件的紧急应变通报能力,但评分中,看不
到代表台湾的TWCERT/CC的表现,相较于韩国的KrCERT/CC,对于韩国民间提供许多网络服
务,台湾虽然有成立高达8个不同型态的CERT,却没有真正发挥应有的成效,成为网络安
全成熟度调查中,排名第二差的评分项目。
李德财认为,台湾逐步落实“资安等于国安”的政策目标,从政府组织与资安立法层面的
努力获得肯定,接下来,对于不足之处,包括打击网络犯罪、深化军事与商业应用,以及
活络社交媒体活动等等,都是台湾政府应该积极努力自我提升的项目。文⊙黄彦棻
4.完整新闻连结 (或短网址):
https://www.ithome.com.tw/news/121698
5.备注:
重点懒人包:台湾网络安全第九名总分56.9分不及格,落后第八名的中国13分
落后第八名的中国13分
落后第八名的中国13分