data security

【為什麼我們要挑選這篇文章】近日,宏碁、廣達、蘋果等科技大公司皆遭軟體綁架集團 REvil 勒索高額贖金,凸顯駭客組織專業化、企業化,以及捨棄政府單位,轉為勒索企業並尋求高獲利的攻擊型態。企業對資安的需求將愈來愈高,資安產業的發展看好。

然而,雖然台灣有不少資安公司,但絕大多數是代理商或技術服務者,市場發展受限。政府能如何協助資安產業發展,讓資安成為台灣的下個護國神山產業?(責任編輯:郭家宏)

作者:郭憲誌(數聯資安總經理 / 中華民國資訊軟體協會理事暨資安促進會會長)

雖然 COVID-19 的疫情影響仍持續發酵中,但是 Cybersec Taiwan 2021 仍在五月初隆重登場,因為大家引頸期盼在這一次闊別兩年的大型展出中(Y2020 因疫情影響而延宕並縮小規模)可以再次獲得最即時的資安新知、及看到資安業者推出新的解決方案,畢竟在過去的一年多來,台灣的企業無論是電子業、傳產、能源、運輸,已經有太多遭受到勒索病毒的攻擊,也許是營運中斷、或是個資被竊取、甚或是機敏資料被破解偷取並公佈在網路。

組織化的駭客攻擊已經形成一個有制度的產業生態系,其攻擊的目的從過去的政治性目的、敵對國家相互攻擊、個人英雄主義與駭客主義展現,逐步演變今時今日已經成為一個高獲利報酬的暗黑產業,特別是比特幣價格不斷創新高的飆漲,更是刺激了以勒索比特幣做為支付贖款的駭客產業更加猖狂,更重要的是:駭客發現攻擊政府或是關鍵基礎設施(油、水、電、醫療、交通、通訊、金融、高科技園區)要付出的代價不貲,但除了證明駭客自己的滲透能力以外,這些被攻擊的政府機關或是 CI(關鍵基礎設施)會員依法必須即時通報、且設法透過數位鑑識追捕駭客以杜後患、也絕不會輕易付出贖金,所以報酬有限而風險卻不小。

但若是攻擊企業則又是完全不同的情況,多數企業若遭受勒索病毒的入侵或是攻擊,因為擔心公司形象受損或是影響股價,第一時間都是選擇不主動揭露具體的訊息、更不用說是通報給主管機關進行追查,而且企業為了保有客戶的信任和信心,必然會以營運不中斷或是資料不被公佈為優先,因此、是否付出贖金就會權衡所遭遇的狀況,而非一概拒絕支付。故此,對駭客而言:攻擊企業進行勒索已經成為相對容易獲利的「好生意」,所以企業若再不警覺並且強化資安的意識與防護,資安將會成為企業永續經營最大的風險。

台灣資安產業的發展限制:沒有自有產品、僅提供檢測服務

根據「資策會產業情報研究所」(MIC)、及「工研院產業情報網」(IEK)兩大主要法人的研究報告,台灣的資安產業市場規模在 Y2021 將有機會達到超越 NT$530 億/年 的規模,但是其中大多數的市場份額都是在網路安全設備,如:防火牆(Firewall、網路應用程式防火牆(WAF)、防毒軟體及大量的端點防護、或是檢測與密碼管理等工具軟體的授權,而這些主流的資安產品(硬體或軟體)多數為境外廠商的天下,所以國內的資安業者多數是代理銷售或是扮演提供技術服務的角色,少數技術與研發能力俱佳的資安公司,則僅能以技術服務(勞務)或是開發非主流的工具軟體分食極小的市場份額。

若以前述兩大法人的市場研究報告為參考,台灣以資訊安全專業為主要營業項目的公司超過 400 家以上,但在 Y2020 以前年營收低於 NT$ 1 億的公司佔了 96%,也就是說,台灣的資安產業看似正在蓬勃發展、百家爭鳴,但實質上多數資安服務業者無論是代理國外產品,或是自主提供技術檢測能力為客戶服務,其規模要能夠有持續快速的成長是有根本上的挑戰,一是若沒有自主的產品就只能以台灣為市場,無法持續擴大,市場當然就會受限;二是若只能以技術檢測或演練服務獲取營收,受到人力規模與能力素質無法確保的限制,這樣的發展也無法成為可以長久的商業模式。

所以過去兩年、因為資訊安全法對八大關鍵基礎設施已有規範,政府採購資訊相關設備的預算中也開始要求資安的預算比例,確實促使資安相關的資服業者獲得一些商機,但從產業的長期發展角度來看,坦白說只是投身資安服務的小公司變多了、可以得到的勞務工作機會增加了,但是整體的發展策略與未來的前景卻仍舊缺乏可以讓人樂觀的明確方向。

多數的資服業者若是參與過政府機關的採購標案,應該都或多或少會有不同的經驗可以相互交流,而站在一個資訊服務(資安)業者的立場,抱持著對產業發展可以更健全的期待,我有下列一些看法可供大家參考:

一、政府採購方面:應增加預算,避免「低價者得」原則

1. 政府對於資訊設備及相關軟硬體採購,雖然已經有明定要求納入資訊安全的基本比例,但實際總體預算卻未增加,已然產生排擠效應而使得原有的資服業者未蒙其利先受其害,而這樣的預算排擠也導致資安的相關採購容易淪為虛應故事,反而使資安產業無法真正受益。

2. 政府共同採購契約「低價者得」的原則已經戕害了資服產業的服務品質,尤其是資安服務亦納入共同採購契約,每年以 20% 的折扣逐年下殺價格,不考量資安服務業者的規模、證照數量、使用的軟體正版授權數等等成本差異,僅以價格為依據又無法以分級制度讓不同級別的業者有合理價格,最終將使整體的資安服務品質與獲利下降,對產業的長期發展極為不利。

3. 政府應率先足額編制正式的資安專職人員、而非以資訊人員兼管資安業務,且應在網路及資通訊設備採購案中,規範或減少非必要的駐點人力要求,從政府採購的層面建立「技術服務有價」的正確觀念,透過政府每年巨大的採購規模,逐年將資服業者與軟硬體廠商應該提供的技術服務能量,有系統的移轉並建立在政府編制內的技術職系公務人員身上,並將各大原廠的技術訓練與證照考取,做為技術職系公務人員的考績評核指標之一,以促進整體產業的良性發展。

4. 政府採購契約的平等原則應該省思,政府採購契約多數將風險與責任完全轉由承攬業者負擔,包括交付的條件、服務提供的時效合理性與罰則、承攬方賠償金額無上限等等,均屬不平等且不符比例原則的做法,我相信政府施政的基本思維應該就是要以政府投資採購帶動產業發展,而非以落伍的「甲方思維」設下這麼多的不利業者的門檻,導致最終能夠參與政府採購的業者受到限縮,整體的產業發展也因此受限。

二、政府鼓勵企業重視資安:補強人才缺口,並提供認證機制

多數企業並非不重視資安,但是企業經營要做的事情太多、要從能夠提高效率創造產值的事先做,所以、資安 always 會被放在預算有結餘的時候再做。但資安又像是保險一樣總是需要持續的增加與補強,否則一個漏洞可能就會造成莫大的損失,若能透過政府的協助、鼓勵使企業能夠擴大資安的投資,或真正將資安的工作落實,使得國內企業的公司治理與經營管理更健全,真正受益的還是政府與產業,因此以下幾個具體的建議可以考慮:

1. 獎懲兼具:立法規範要求關鍵基礎設施產業對於資安應遵守的事項,上市/櫃公司發生重大資安事件必須發佈重大訊息都是立意甚佳的政策,但都屬於「懲」的層面、難免會讓被強制遵守的企業心有不願而不能真正落實,如果能夠從「獎」的層面給予企業鼓勵或實質的幫助(如:投資抵減、租稅優惠),自然能讓企業真心且誠實地將資安的工作做好。

2. 即時補強資安人才的缺口:企業與資安產業都有著相同的困難,因為資安工作必須背負的責任與特殊的工作特性,過去資訊/資工相關科系的人才流向 IT 或是研發單位居多,以致於資安的人才形成極大的缺口,而即使企業有心做好資安的投資,也常會遭遇到不易覓得適當的人才的問題,只好從提供服務的資安業者進行挖角,最終形成企業資安缺人而資安企業也缺人的惡性循環。政府除了現有的「資安卓越中心計畫」、「資安人才培育計畫」等長期的資安人才發展以外,如何結合民間資安業者提供實務性較高的在職訓練,為企業或業者代訓資安實務人才,應可比較快速有效的克服這個窘況。

3. 政府應該擴大辦理企業的資安信賴認證或獎勵,比照電影產業有金馬獎、廣播電視有金鐘獎、食品安全有 GMP 標章、優良農產品有 CAS、對於關鍵基礎設施涵蓋的產業或企業除了規範以外也可以推動認證機制,非關鍵基礎設施的一般企業及中小企業則可以辦理競賽以鼓勵參加,帶動社會整體重視資安並將重視資安的企業視為有信譽的代表。

三.   政府協助發展資安產業:優化產學合作機制,業務避免與民間業者重疊

台灣長期以來因為產業規模差異太懸殊,導致「重硬輕軟」和「製造業優先、服務業其次」的觀念根深蒂固,所以台灣空有大量極為優秀的軟體人才,但卻缺乏真正可以在國際市場上可以與人平起平坐的軟體產業,更遑論在虛擬化浪潮驟然來襲的此時,我們在雲端、物聯網、5G 等未來的大趨勢中若是不能掌握機會趁勢而起,我們終將又是為人作嫁的最佳幕後英雄。

如同眾多資安大廠都宣稱他們在台灣有大量的研發投資,但我不禁想問:為什麼台灣的研發工程師開發的軟體、硬體都掛上 C 牌、P 牌、F 牌賣給我們,而不是我們台灣的自有品牌銷售至全世界?我們的資安產業究竟是應該專注在培育出「獨角獸」賣給歐美大廠、還是發展出一系列的「護國神山們」在世界舞台上與全球的資安業者競逐真正的市場?坦白說,從 private owner 的角度,只要能夠將公司價值極大化,並為投資者獲取最大利益就是對的事,所以能夠將公司賣給國際大廠也代表自己的成功,但從政府的視野而言,政府應該提供產業更多的資源與協助,讓資安產業能夠朝向自有技術與產品發展,這樣台灣才有機會虛擬化浪潮中,順著資安需求必將隨著萬物聯網而爆發的趨勢,孕育出更多有能力走出台灣面向全球市場的資安產業,幾個具體的建議如下:

1. 鼓勵資服業者避開既有的紅海區塊,並開發新興領域資安技術或虛擬化(雲端)資安服務,給予實質的科專計畫補助以加速推動業者投入研發。

2. 政府法人機構的角色與定位的重新定義:國內不乏擁有大量政府資源挹注的法人機構,但其角色卻與民間資服業者過度重疊,導致彼此的資源不能互補而發生不必要的虛耗,而越來越多源自法人研發團隊成立的新創公司加入資安市場,雖然為市場帶來新的研發動能,但同時也發生了分食了既有市場份額的現象,這對於將餅做大而不是搶食原有的一塊餅,似乎是背道而馳。

3. 產學合作機制的優化,對於產業與學校或研發機構的產學合作應給予更多的鼓勵,讓企業與學研機構的合作負擔可以減輕,便利性及獲得的獎勵與補助可以增加,促使學研單位的研究能量透過與產業界的合作可以更務實,並可採取長期分潤的機制回饋學研單位,避免一次性高額的產學合作計畫經費門檻阻斷了中小企業的產學合作機會,也可以使學研單位的研發更有延續性。

綜合前述所言,筆者認為台灣具備有得天獨厚的人才優勢,但我們必須更有系統地將資安產業的發展梳理出清楚的策略思維,政府與企業應該攜手合作將目光投射到全球市場,藉由全球新興的技術變革趨勢,搭上不可逆的大人物潮流(大數據、人工智慧、物聯網),發展出屬於我們台灣的國際級資安產品與資安產業。

(本文經投稿作者 郭憲誌 授權刊登,並同意 TechOrange 編寫導讀與修訂標題,原文標題為〈資安如何能成為台灣下一座護國神山產業〉。意投稿者可寄至:[email protected],經編輯檯審核並評估合宜性後再行刊登。首圖來源:Wikimedia Commons CC Licensed

延伸閱讀

【資安界明星逝世】因揭發 DNS 漏洞聞名,全球駭客推文緬懷「零負評工程師」
【警訊】台灣高科技企業該注意了!資安防護能力僅 C 級平均 68 分
首度整合 AI 加速架構,英特爾第三代 Xeon 同時滿足效能與資安要求!