《TO20150910 更新》:為了增強台灣資安戰力,今年國安局特考增加具「資安專長」的高考技師類組,不過開考後竟然創下無人報考的紀錄,難道是台灣沒有合格的資安人才,還是應該反過來檢討政府對於資安專長的定義,是否與社會期待有落差?
關注台灣安全相關政策、趨勢的《壯闊台灣》發表「網路大戰中,我們怕的不是神一般的對手」一文,質疑國安局徵招網路安全處的報考資格太過嚴苛。該網站接著刊載出「存在或不存在?期待臺灣的網域防衛軍」,直接找出國安局招攬駭客的具體條件設定。
先講結論:要符合體能+合格證書+合格外貌(?)+測驗通過的神人駭客,台灣還真沒有。國安局可真是為駭客訂下一個神等級的標準了。
壯闊台灣經過調查後,發現三點重要結論:
1. 按照國安局標準,全國只有大約 25 人符合報考資格。
2. 這 25 人,或是有任何其他符合考選資格標準的準駭客,也得和所有情報人員一樣,通過十多項的體能測驗,並符合外貌標準。
3. 國安局表示,他們知道用以上的條件可能招不到人。
到底是什麼嚴苛標準,讓工程師滿街跑的台灣,竟然找不到人可以擔任國安局網路安全處的員工?原來必須要符合:
中華民國國民,年齡在 18 歲以上,35 歲以下,具有下列各款資格之一者,須領有資訊技師證書及領證後,並受聘公私立機關 (構) 二年以上資訊相關工作經驗證明文件者:
(1) 公立或立案之私立獨立學院以上學校或符合教育部採認規定之國外獨立學院以上學校畢業得有學士以上學位證書者。
(2) 經普通考試或相當普通考試之特種考試及格滿三年者。
(3) 經高等檢定考試及格者。(資料來源:壯闊台灣)
對比考選部自 1996 年公開的統計資料,完全符合的只有 25 人。這 25 人,還得再度通過以下的資格刪選,只要任一測驗未通過,不好意思即使你是世界級駭客也一樣掰:
一、1,200 公尺跑走:男性 5 分 50 秒以上,女性 6 分 20 秒以上
二、身高:男性不及一五五公分,女性不及一五○公分
三、視力:各眼裸視未達 0.2。但矯正視力達 0.1 者不在此限
四、聽力:優耳聽力損失逾九○分貝
五、辨色力:無法辨識紅、黃、綠色
六、血壓收縮壓持續超過一四○毫米水銀柱,舒張壓持續超過九十五毫米水銀柱
七、五官有嚴重損傷,經化妝、配戴輔具或其他方式仍無法修飾
八、單手拇指、食指或其他三手指中有二手指以上缺失或不能伸曲張握自如
九、手臂不能伸曲自如或兩手伸臂不能環繞正常
十、雙下肢明顯不能蹲下起立或原地起跳明顯不能自如
十一、肺結核痰塗片呈陽性反應
十二、經教學醫院證明有精神疾病或精神狀態違常,致不堪勝任職務
十三、握力:任一手握力未達三十公斤
十四、其他重症疾患,無法治癒,致不堪勝任職務
(圖片來源:JFC)
任一手握力必須要達到 30 公斤,請問是要比握手大賽嗎?是否國防部、國安局在不同種類的人才徵選上,條件設定不知變通?又或者政府是否真的能夠過這樣的人才篩選機制,為國民找到能夠捍衛資訊疆域的人才?政府與民間又該如何合作,才能達到有效的技術交流與溝通?這些都是目前國民希望政府能做出來的承諾。
_______ (以下為正文)
科技進展快速,「資安」的需求也越來越強烈,更不用說之前行政院副院長張善政在接受《路透社》專訪時才說過:中國駭客確實以台灣作為駭客攻擊試驗場;而台灣也確實是世界前幾名最常被駭客攻擊的國家。
由此可見,資安的確已成國防重要的一環。
今天根據《風傳媒》報導,國安局在 2014 年底時,於國安局特考增加具「資安專長」的高考技師類組,這樣的變動被許多人認為是終於要成立「網路安全處」,用考公務員的方式來找專業駭客,不過令人意外的是,這個考試竟然無人報考,創下了有史以來第一次國考科目 0 報考人記錄。
為什麼會這樣呢?原來這都是因為報考資格真的嚴苛。國安局限定:要有公務人員資格、具備電腦檢定證照等。
好吧,一個厲害、有經驗的駭客、資安專家想要為國效力之前,竟然還得先考過公務員,又得拿出所謂的「電腦檢定」。這樣的資格限定,也難怪無人報考了… …
從這樣的資格限定,也可以看出招考單位對於他們想要找的人都不清楚(至少他們限定出的資格根本不是一般人啊),把應該廣開的大門,反而關的超窄。
據《風傳媒》報導,目前台灣的體系中,具有駭客技術的單位主要是國防部通資作戰指揮部的老虎部隊、調查局的資訊室,以及刑事警察局偵九隊。
- 以下分享臺灣大學資工系副教授洪士灝的評論:
本文獲作者臺灣大學資工系副教授洪士灝同意轉載。
看到這個「國安局招募網路高手 創下國考無人報考紀錄」,在大家罵國安局腦殘之餘,我們可以順便用這個案例檢討一下政府的資安和效能的問題。
我順手很快查了一下,在去年的立法院公報裡面,蕭美琴委員的書面質詢有提到這個,上面說得還頗清楚的,我來做一下重點摘要:
● 第一點
最為人所詬病的乃是資安組織、人力與預算未法制化及資安防護分工較不明確之問題。目前行政院資通安全辦公室係以任務編組所設置,一年預算僅多三百餘萬,不僅無法整合龐大行政體系之需求與運作,甚至無法由上而下統一推動一致性之資安防護硬、軟體與政策。
● 第二點
有鑑於美國不僅已將網路攻擊列為全球首要安全威脅,將其網路攻擊部隊人力由 500 名提升至 4,500 名,預算更由 39 億美元提高為 47 億美元,以強化網路攻防能量。然國安局雖於施政目標與重點中明述,針對人員進用開闢多元進用管道,配合軍、文職人力任用,遴補情報、科技、密碼、特勤等專長之優秀人才,惟多數網路資安專才不願進入僵化體系之行政機關任職,以致我國資訊安全防護成效差強人意。
● 第三點
於今(2014)年國家安全局首次與考試院協調,研擬於國家安全局特考內增加具資安專長的高考技師類組,以強化國安局資通安全防護與應變能力,惟考試院迄今仍未給予正面回應。爰要求國家安全局應積極與考試院研商一套適用於民間、學校……等各界社群網羅搜尋資訊安全專才之方案,並於二週內提送書面計劃報告至本席國會辦公室。
看完這些,大家應該知道政府很清楚自己哪裡不行,但就是提不出可行的案子來改進之。如果不是沒錢,就是沒人才,政府自己也知道:
·缺乏誘因的原因是國家僵化的考試和用人制度,比如說要有公務人員資格以及具有電腦檢定證照的門檻,不知道是不是考試院「想當然耳」訂出來的?薪水大概不會高,怎麼可以讓新進人員的薪水比長官高呢?不要忘了,資工系的教授一個月的薪水也只有七萬到十萬左右,在政府眼中,資訊專長的人價碼不過如此。
·缺乏長遠的規劃,公務單位總是到了緊急的關頭才要找人才,平時就能混則混。被立法院罵了,就趕快弄一個方案出來在兩週內交差,拖延半年再說。我想,以現有的薪水,就算招到了人也不知道能不能用(網路高手要怎麼筆試?這點我還不大清楚。靠面試比較實在),招到不好用的人,不如招不到。
就這樣,資安、國安的問題,就被延宕了半年,好像沒有人會跳出來負責任。這個案例,只是國家機器目前運作的一個縮影,有很多是被延宕的、沒有人負責的,所以政府的效率就越來越低。
我倒是很好奇,國安局究竟願意花多少錢雇用這樣的人才?想徵求人才,有錢的話並不難 — 如果你告訴我,懂資安的畢業生,去你那邊可拿得比去聯發科和台積電拿得多,那我保證一定會有一大堆第一流的學生跑來做資安。就算拿不出那麼多,也得能跟外商比,才能雇到高手。
台灣的機構普遍給網管人員的薪資行情太低,各個機構的資安問題,難道不是國安的問題嗎?照目前這個樣子,政府想聘到網路高手,根本就是天方夜譚。沒有高手,政府單位想跟外國打資訊戰?我想都不敢想。台灣不是沒有高手,只是你能不能吸引人家去。
- 延伸閱讀
臺大副教授洪士灝:從美國 TechHire 計劃看見台灣人才荒真相
【專訪 HITCON 】領隊李倫銓:日韓的駭客人才培育方式值得學習!
專訪國際刑警資安顧問:拜託,別再用 Windows XP 了!
(參考資料:風傳媒、數位時代、壯闊台灣;圖片來源:CHRISTOPHER DOMBRES,CC Licensed)
