台灣受駭客攻擊全球排名第三!學者呼籲「資安國造」急迫性
(圖:科技新報)
報 姚惠茹
強化個資保護!智雲攜手韓國資安大廠引進高效資安解決方案2024 年開春就有兩大科技廠驚傳遭到駭客入侵,但其實這些都只是冰山一角,台北科技大學副校長楊士萱表示,受到地緣政治影響,台灣受駭客攻擊全球排名第三,這對國家安全來說是很大的危害,因為資安就是國安,而國防工作需要自己建造,就像台灣潛艦都需要國造,資安同樣必須要降低對外的依賴性,尤其近年兩岸關係緊張之際,「資安國造」更有其急迫性。
資安威脅與風險與日驟增,公私部門紛紛意識到資安的重要性,楊士萱表示,資訊科技在軟體設計或硬體製造過程中,有可能被植入惡意軟體或改變電路,這些都當對經濟與生命造成嚴重威脅,國內的資安需要上升到國造等級,從汲取先進國家資安技術研究開始,並與本土資安業者攜手合作,打造資安國造旗艦隊。
楊士萱指出,數位化的時代,政府機構與民間企業資料的整合及串接只會越來越密集,當資料需要更開放,代表資料洩漏的風險就更高,而國際間透過駭客及各種管道獲取資料的攻擊會更多,甚至是來自國際級的攻擊,這時政府就需要強化自身的資安防禦能力,就如同國家需要擁有自身的軍隊去增強國家及民間的資安能力。
學研盼打造「資安國造」生態系
資安是一個國家必須具備的獨立自主能力,需要從不同面向來掌握,包括技術、人才、關鍵基礎設施與合適的流程,楊士萱指出,所謂的資安國造就是資安關鍵技術具有自主研發、自製關鍵設備的能力,再來就是本國核心技術能不能應用到產品或系統中,第三個就是資安人才培育,目前的教育體系能不能配養本國資安人才。
楊士萱指出,關鍵基礎設施的資安防護是資安議題的重中之重,特別需要國造,像是資安院與台北科大合作成立「關鍵基礎設施研發中心」,聚焦油水電、金融、鐵道、通訊、醫療等八大關鍵基礎設施,正是希望藉由北科大的研究能量,針對關鍵的設備建立自有研發的能量,避免產生斷鏈的風險,並深耕資通安全前瞻與關鍵技術,建立資安規範與檢測程序,合聘資安專業人員。
為從政府角度將資訊安全標準提升至國家安全層面,基於台灣現有架構,楊士萱建議,首先是強化區網安全,升級縣市網路和網路安全設備,降低入侵風險,再來是保護基礎設施,定期進行攻防演練保護基礎設施,確保資訊共享與資安分析中心運作機制的有效性。
第三是倡導資安發展,楊士萱說明,倡導國內網路安全研發企業參與關鍵資訊基礎設施項目,第四是遵守《網路安全管理法》規定,推動國家網路安全政策,保護關鍵基礎設施,第五是鼓勵技術創新,應與連接未來的國際和國內資安廠保持一致,以促進創新應對新出現的網路安全挑戰。
關鍵基礎設施需要「資安國造」
台灣過去缺乏對資安人才的培養,楊士萱指出,一方面缺少具有公信力的單位去授課及認證,企業也較少提供人員的編制,最近因為政策的制定及資安院對人才培養及投入,已經開始產生良性的發展。
設備方面,楊士萱指出,台灣使用的資訊軟硬體設備,長久以來大多為外國的廠商為大宗,政府也意識到高科技的產業及技術是一項重要的國力,所以將資安列入六大核心戰略產業,並將晶片安全技術、後量子密碼保護技術、網路主動防禦技術涉及資安相關的項目列入國家核心關鍵技術,交由數位部負責管理。
楊士萱指出,企業要建置完善的資安環境需要考量的設備及功能非常多,從功能性考量有辯識、保護、偵測、回應、復原等設備,而其中最關鍵的不外乎是資料的保護的設備,目前市面上的設備廠商大多是代理國外的產品及服務提供給企業,但還是有部分國內廠商持續以自主研發的目標及產品來提供服務,像是提供資安攻防的盧克賽特及金融資料與資料加密龍頭廠商普鴻資訊。
資安產業化vs.產業資安化
「個人認為資安國造可以從資安產業化及產業資安化兩大方向著手」,楊士萱指出,首先資安產業化是找出核心資安產業及企業,透過政府及政策的力量輔導及支持,當形成一個產業時就會吸引更多人願意投入,人才就會源源不絕,就如同半導體產業的台積電,帶動整個半導體產業,而產業資安化則是數位轉型時一定要有足夠的資安韌性才能有永續經營的利基。
亂碼化設備主要用在保障資料的安全性,產業人士指出,而亂碼化設備就是用來安全儲存、管理金鑰,以及提供密碼的硬體設備,對於保護敏感的資產至關重要,這些設備通常是硬體安全模組,又稱為硬體加密器或亂碼化設備(HSM,Hardware Security Module)。
產業人士說明,亂碼化設備的功能是儲存、管理金鑰,提供密碼,並進行資料加解密,有效防止機密內容在網路傳輸時的洩漏風險,各產業都需要這種設備,以確保資料安全,並成為推動資安國造成為一個產業的關鍵。
「資安國造」供應鏈助攻產業韌性
若要推動「資安國造」成為一個產業,楊士萱指出,第一步就是由國家級的單位訂定相關的標準及認證機制,包括運算邏輯、基碼、識別認證、交貨、營運、備援與稽核等,再來是台灣資安人才缺口及訓用落差是結構性問題,從學校到企業都要培養屬於自己的核心競爭力,應該要建立自己的資安團隊。
由於台灣資安人力缺口與需求持續增加,估計全台資安人才缺口高達 8 萬名,楊士萱指出,顯示資安人才需求相當急迫,楊士萱指出,以最缺資安人才類型而言,網路安全分析師最高,其次為網路安全管理師及資安顧問,建議未來資安重複性工作可透過軟體與硬體化的工具,協助補足資安人力缺口。
從整體效益來看,楊士萱指出,資安國造在台灣是國家基礎建設中的重要一環,包括強化政府基層機關資安防護及區域聯防、資安基礎建設推動、數位轉型與資安發展,以及資通訊基礎建設安全機制計畫,建立國家資安聯防運作機制,包含八大關鍵資訊基礎設施領域及國家層級,以因應日益複雜的資通安全挑戰。
新聞來源:https://technews.tw/2024/02/12/information-security-made/
