黄彦棻摄
因应资安威胁越来越复杂,集结台湾各行各业资安长的「台湾资安主管联盟」也于日前举办会员大会时,代表157家会员、囊括25个产业,在行政院副院长郑文灿、金管会副主委邱淑贞见证下,与法务部调查局、内政部警政署刑事局以及台湾电脑网路危机处理暨协调中心(TWCERT/CC)签署资安互助合作意向书(MOU)。
台湾资安主管联盟会长、也是华硕集团资安长金庆柏表示,台湾资安主管联盟的会员中,八成是上市柜公司,而ICT高科技跟金融金控公司约占65%,年营收超过十二兆元,联盟自成立以来,积极扮演政府和企业双方的沟通平台,也配合政府推动产业相关的政策,获得政府部门的支持与重视。
金庆柏指出,此次透过和合作单位签署合作意向书后,未来不仅可以分享更多企业资安防护经验,也可以透过公私协力的方式,借由与合作单位的协助,便可以更有效因应各种网路犯罪带来的挑战,进而保护企业资产、降低骇客入侵或勒索软体绑架资料的资安事件发生频率,也可以做到加快相关案件处理的速度并减少作业成本。
面对骇客攻击,资安长们应该抱团对抗
金庆柏表示,现在的网路攻击已经形成一个生态系,有许多骇客更推出「勒索软体即服务」(Ransomware as a Service)的攻击态样,让他深知,当企业面对各种网路攻击时,只靠个别企业单打独斗是不足的。
他也说,从过去的COVID-19、乌俄战争到以哈战争的经验,都让我们了解到「大军未至、情资先行」的情资重要性,从中也体认到,资安已经是每个企业、每个组织营运持续管理(Business Continuity Management,BCM)和ESG中非常重要的环节。
金庆柏认为,这也意味著资安主管所需要担负的责任范围更广,也必须投入更多费用,在需要了解的资安相关技术上。「这是一种危机、也是一种转机,也是一种商机。」他说。
从2000年回台湾工作以来,金庆柏看到政府每四年都会规画新一期的资通安全发展方案,担任公司资安委员会成员时,也会把政府的规画,作为民间企业规画的参考依据。
他认为,台湾政府很早就关注资讯和资安的发展,积极透过公私协力的方式,整合政府和民间的力量做资安。
金庆柏说:「资安就像是下水道建设,很重要但外界不一定看得到。」因此,所有的资安规画,都必须更有远见的一步步施行,毕竟,「资安长就是让长官在晚上可以睡好觉的人。」他表示,一个人走的快、一群人走的远,透过筹组台湾资安主管联盟,就是希望可以保护台湾,透过公私协力的方式,让台湾企业都可以平安获利且做到国际合作。
金庆柏指出,台湾资安主管联盟在过去一年半来,也向政府提出一些建言获得采纳,包括:资安投资抵减的建议,透过三年的试行,企业可以获得3%至5%的减免;其次,如果企业因为勒索软体而支付赎金,这也可以在企业财报上做抵减。
他说,近期的建议则是希望政府部门也采购一些重要的情资,评估将相关的情资分享给企业的资安主管,以及若因为企业发生资安事件而必须报案时,是否有单一的报案窗口,提高报案的效率。
透过公私协力,提升机关企业的资安防护能力
郑文灿表示,金管会在2020年通过金融资安行动方案,并在2021年修改内稽内控准则,要求企业要通报资安事件,也规定一定产业规模以上的企业,必须设置资安长。
而台湾资安主管联盟于2022年4月成立后,也和金管会、数位部等多个政府部门互动密切。而目前与资安相关的法律有规范公务机关和特定非公务机关的资通安全管理法,以及有处理个资的企业则受到个人资料保护法的规范。所以对于企业遭遇资安事件时,也有规范一定的通报应变处理流程。
因此,他认为,政府和企业面对资安这个领域,应该是要携手合作,并建立一定的程序标准,例如,数位部就针对行动App和物联网等项目,制定了相关的认证标准,有一些甚至已经列入国家标准。
资安相关领域的变动快速,郑文灿表示,有鉴于资安相关领域的变动快速,郑文灿表示,其实资安是需要不断更新的专案,所以资安不止有价,还需要定期的维护更新。
他特别强调,许多机关、企业都有所谓的驻点人员,但都无法取代机关或企业内部资安长的角色;机关、企业本身对于资安的投资更是要不断增加,才能够去面对这个不设防网路世界的风险,建立防护盾牌。
面对资安人力不足的问题,郑文灿表示,政府希望将资安人力做成从中央到地方的一条鞭制度,并提供一定的资安专业加给留住人才,避免被轻易挖角,调查局和刑事局则提供更多设备和人员训练,提高科技办案的能力,进而找到这些资安事件背后的网路犯罪组织,协助维护政府和企业的资讯安全。
台湾是亚太地区遭受网路攻击排行第一名的国家,因此随时都要面对各种类型的网路攻击事件,郑文灿认为,只有透过更多的交流,才能够有助于提升机关和企业的资安防护,而台湾资安主管联盟也可以透过和调查局、警政署以及TWCERT/CC签订资安互助合作意向书,让台湾的资安长们借由分享各种防护经验,提升资安能力。