【2020 全科會將至】全世界駭客都愛攻擊台灣,資安產業怎麼養才對?

(左至右)戴夫寇爾 DEVCORE 執行長翁浩正、科技部長陳良基、流線傳媒總主筆張育寧

考量國家發展方向,科技部每 4 年會召開一次全國科學技術會議(以下簡稱全科會),決定接下來 4 年國內針對國際科技局勢以及全球動態台灣因應的科技政策與相關發展指標。2020 年,台灣即將召開第 11 次全科會,近年世界科技變動加速,包含 AI 人工智慧興起,以及 5G 商轉等相關議題,透過全科會,我們可以更清楚台灣針對下一步進展的科技產業發展策略,以及未來政府針對台灣面向未來 4 年相關資源投入的領域方向。

TechOrange 科技報橘有鑒於全科會對於台灣科技政策與資源投入的重要影響,因此與科技部合作,邀請科技部長陳良基,及戴夫寇爾 DEVCORE 執行長翁浩正,共同討論台灣目前的資安產業環境,以及依據台灣在世界資安產業鏈上扮演的角色,政府應該如何促進台灣資安產業環境發育。

台灣是世界駭客最愛的測試沙盒,真正的資安即國安

行政院在 2017 年通過國家資通安全發展方案,並成立資通訊為主的第四軍種,並在 2018 年透過資安管理法立法,搭配投入資安旗艦計畫以及前瞻基礎設施建設計劃,並依此研擬出《國家資通安全戰略報告-資安即國安》,顯示對資安計畫及數位國防的重視,數位國防和資安部署之間環環相扣的關係是什麼?台灣目前又是如何佈局?

翁浩正認為,現今泛濫的假新聞,其實就是一種國與國之間資訊戰的手段,在短時間內透過大量正確度難以確認的訊息,影響一個國家的民心和輿論。而現今的「網軍」其實在各國都廣泛用於真正的資通訊軍隊名稱,只有台灣用其來稱呼透過假帳號散播輿論的民間團隊。陳良基進一步補充指出,過去一戰、二戰中資訊戰其實就都是戰爭中非常重要的一環,例如破解敵軍密碼等等的手段。

但過去的科技並不如同現代如此容易變造,現今大部分的資訊傳遞依賴網際網路,因此造假與否需要花加倍的心力辨識,例如前幾年流行的 AI 變臉,都足以形成影響民間的假新聞素材。藉此,陳良基指出,過去資安比較像是政府的工作,但現代為什麼全民都必須在意資安,就是因為現代科技已經達到一個分水嶺,足以在不留下痕跡的情況下進行入侵,若民間忽視防範,就可能受害。

總統府日前喊出資安即國安,國防自主的大政策方向,讓科技部的角色更為吃重,目前科技部致力於推動讓資訊人才大多都具備一定的資安基礎知識。陳良基表示,科技部目前有定期在監視有多少惡意程式入侵台灣,過去的平均約為 1.5 億/ 月,但或許是選舉將至,10 月惡意程式的攻擊已經突破 2.5 億,11 月更已高達 2.9 億,12 月確定將突破平均值的兩倍,大多都是進行資料竄改的惡意意圖。台灣因為是資通訊大國,掌握全世界一半以上的供應鏈,硬體的佈建規模也很合適,所以一向是惡意軟體場測試的熱區,更突顯台灣必須加強資安的重要性。

陳良基表示,據科技部定期監視入侵台灣的惡意程式的報告指出,過去的平均約為 1.5 億/ 月,但或許是選舉將至,10 月惡意程式的攻擊已經突破 2.5 億,12 月確定將突破平均值的兩倍。

翁浩正同意陳良基的觀點,指出國外的駭客確實非常喜歡來台灣取經,看新的病毒、攻擊手法,並加以分析,所以台灣在世界資安圈確實具備相當的地位。

翁浩正進一步表示,過去有很多傳產認為自己主要的商業模式不是透過網路,因此不用建置資安防護,但其實只要有用到電腦,都需要進行資安部署。假設駭客用 Email 進行攻擊,抑或是竄改訂單上的匯款帳號,都有可能讓公司蒙受損失。就算整間公司不使用電腦,現在手機也都聯網了,很難避免駭客入侵主管的手機獲取機密資訊,因此完全不思考資安部署,其實是非常不實際的作為。

面對世界人才競逐,台灣的資安產業準備好了嗎?

以色列近年透過資安新創稱霸世界,台灣國內目前資安產值大約 300、400 億之間,面對國際的資安人才競爭,台灣目前在資安人才的培育是否有跟上世界水平?而相關的能力在世界上是否處於領先地位?

陳良基認為,在蔡總統喊出資安即國安之後,整個產業都有跟著動起來,只要有部分產業開始重視資安部署,其他公司為了不落後,也會相應的跟進,因此台灣本土的資安產業因此有較為活絡,數位治理的進程也算是快,日本早稻田大學近年釋出的數位治理排名,台灣排名世界第 9,也算是有相當的成績。

在產學合作方面,目前科技部在科研方面的學界人才培育持續投入,從過去 5 家研發中心拓展 8 家,參與的教授有超過 50 位以上,並將研究領深入到硬體範疇,只要一個零件有異常馬上就會知道。同時科技部也在持續和廠商溝通,並依據業界的需求培育人才,礙於業界對於資安事件的保密態度,科技部也將提供給民間的資安協助進行分級,並舉辦不同層級的資安培訓,協助產業應對不同層級的需求。

延續陳良基的觀點,翁浩正也指出教育部近年在資安教育上有相關的著墨,有效推動更多學生對資安的興趣,並在畢業後投入相關產業,從台灣近年參與 DEF CON CTF 競賽已經能派出兩隊就能看出投入資安的人才數成長。同時教育部目前也把資安教育向下扎根到高中職,例如舉辦 My First CTF,這些舉措都能有效縮小產學差距。

翁浩正指出教育部近年在資安教育上有效推動更多學生對資安的興趣,並在畢業後投入相關產業。從台灣近年參與 Devcon CTF 競賽已經能派出兩隊就能看出投入資安的人才數成長。

但陳良基也擔憂,目前業界確實對於資安人才開出的薪水還不算太好,廠商寧願投入購買設備,也不願部署更加完善的資安,這對國力、產業都是一種傷害。翁浩正亦認為,產業沒起來,薪資就不會起來。台灣資安產業正在成長,但還追不上其他產業的薪資水平。如果要解決薪資問題,要從產業的根本問題解決起,政府目前的方向正確,但推進速度可以更快。

明年將推資安園區,台灣政府推資安產業做到位了嗎?

政府近兩年才剛將資安視為國安層級的重要產業,目前台灣政府在資安推動領域,已經做了哪些事?未來面對漸趨嚴重的鄰國資安攻擊,以及 5G 到來的資安影響,台灣應該如何加速資安產業發展,進而帶動數位國防?

總結近兩年經驗,陳良基認為資安比 AI 更難推,這是因為受害者面對資安事件發生,並不願意公開,甚至是求助。因此目前科技部整合科學園區 1000 家廠商,部署資安區域聯防,讓園區廠商參與其中。剛開始推確實遭逢不少困難,但目前已經讓整個園區的廠商都參與,進行平台上的互相攻防演練等等,近期發生的事件就是鍵盤側錄程式事件,可以追蹤電腦使用者輸入的所有資料,但透過區域聯防機制,目前已經有效防範。

對於科技部的作法,翁浩正也非常認同,指出資安聯防確實會有相當幫助,且成本比較低,廠商不需從零開始規劃資安解方。台灣廠商目前部署資安上遭遇的問題是理解不足、決心不夠,平常都將資安視為是多餘的成本,事件發生了才要做應對,反而難以從根源解決資安問題。民間產業不知道資安風險在哪,方向該怎麼做,但基本觀念就是資安應該是一種投資,也能規避風險,產品擁有完整的資安防護,其實會讓消費者更放心使用,對廠商的商譽也是有相當幫助的。

陳良基更深入指出,對於台灣供應鏈廠商而言,資安其實是非常重要的一環,在現今物聯網時代,假設設備被駭客入侵,藉此要求贖金,對企業就是很大的威脅和損失,台灣近期就有製藥公司發生相關事件。社會必須理解資安的投資是必須,而且不是防禦設備買了就好,因為網路世代的資料是不停流動的,資安防禦也必須要做到即時監控的層級。

陳良基更深入指出,對於台灣供應鏈廠商而言,資安其實是非常重要的一環,在現今物聯網時代。

面對目前政府對於推動資安產業發展的政策,翁浩正認為有四點是非常重要的,第一是漏洞揭露、通報,透過 TWCERT/CC 的規劃,接收民間公司的通報,進而做後續處理,可以加強民間與政府的資安協作;第二是攻防演練,諸如 11 月舉辦的台美聯合攻防演練,對資安防禦進行實際測試,了解風險、設備,才能確保目前的防禦是否足夠。

第三則是 工研院 SECPAAS 資安整合服務平台 和廠商媒合、資安能量上的貢獻,能幫助有意進行資安部署的民間企業,在最初不理解的情況下,可以找到合適的資安廠商,協助進行整體的資安規劃。最後則是政策參與,搜集業界的想法,讓政策更完善,這些是近年政府做得比較好的部分。

翁浩正也指出,政府目前喊出要培育資安產業,但是必須先理解要解決的問題是什麼,資安產業這麼大,要培植的是哪一塊?假設把資安產業簡略分成基本、中級、高級,哪些更有市場機會?如果政府可以提供更多的世界市場資訊,那將會有助於要創業的資安專家,有更多成功的機會。

陳良基回應,未來科技部在推動資安的主要方向,會持續鼓勵民間企業找資安公司做定期檢驗,目前只有部分重視的公司在做。而政府更計畫未來將啟動資安虛擬園區,參考以色列的做法,把廠商集合起來,讓新創跟現有的資安公司互相拉抬、加成,預計明年度將會推展。

資安商機崛起,台灣創業者該注意什麼?

隨著科技逐漸發展,資安的重要性也將日漸提升,面對將投入資安產業的業者,翁浩正建議應該要做出好的服務,真正解決企業問題,才能賺錢,打造正循環。台灣過去資安預算少,但現在真的不同,試著從攻擊方的角度來看,就有機會找到合適的資安創業模式。陳良基則建議資安創業公司一開始多募點錢,因為資安重視的是時機,有大事件發生,才會有大批公司開始重視資安。陳良基也呼籲民間公司,社會必須要更勇於公開資安事件,才能實現整體環境的提升。

台灣必須要理解,作為一個全世界資安攻擊的熱點,旁邊更有鄰近國家具備攻擊台灣資訊環境的動機,因此進行資安投資確實非常重要。為什麼會說資安即國安?假設台積電今天被資安攻擊,台灣產業界勢必也會蒙受重擊,對於台灣國力也將造成相當影響。因此從民間企業開始重視資安,讓台灣資安新創有生存、創新空間,提升台灣整體資安研發、防禦實力,就能帶動台灣整體人才水準的成長,並藉此提升台灣實力,也提高資安國防的層級,這就是為什麼資安對台灣如此重要的原因。

數位治理與數位國防,科技研發政策如何搭配?

迎戰中國發起的網路超限戰,台灣政府在資安建設是否做足準備?科技部部長陳良基、戴夫寇爾 DEVCORE 執行長翁浩正深度對談,破解網路浪潮下的數位治理新格局!陳良基指出,數據資安不該只有政府、企業應該關注,國民也應該多注意。資安跟每個人都有關係,大至國家安全,小至門口密碼鎖。科技部從學界備足資安技術、人才與研究,資安策略研究中心原先只有 5 個,現在已成長至 8 個。要解決資安領域人才薪資問題,就要先解決產業的問題,而政府在其中就扮演重要的角色,透過呼籲或投資推動產業進步,就可以改變整個社會對產業的偏好與支持度。翁浩正表示,過去企業營運中,資安的優先順序被排在很後面。而當總統說到資安即國安或是重點企業開始注意資訊安全,資安的順序就會被往前排了。台灣政府在政策上需要先找出哪些部分是最需要解決的,而非一次解決所有問題。透過資安威脅的分級,台灣創業者或資安業者就能夠去選擇應該去解決頂尖的問題,還是處理在地化的威脅。

Posted by TechOrange 科技報橘 on Sunday, 29 December 2019

(本文提供合作夥伴轉載。)

你可能感興趣

【4 年 1 次全科會將至】政府 R&D 投資成長不足,不能為下一代累積產業升級紅利

【2020 全科會將至】台灣社會對軟體價值思維不足,才是真正的國安危機

【12/30 直播】數位治理與數位國防,科技研發政策如何搭配?

數位轉型讓銀行的「風險」也轉型了!比起企業違約率,網路資安的風險更大

趨勢科技點出 2020 年三大資安重點!AI 讓駭客竊取企業機密只要「一封 Email」

iPhone 資安亮紅燈!避免硬體漏洞被入侵,從「4 大防駭習慣」開始養成

台美首次舉辦聯合網攻演練!資安處:台灣每月遭攻擊 3000 萬次,比歐洲多上千倍

點關鍵字看更多相關文章: