臺北市的松菸文創廣場中有都市叢林中少見的綠蔭,而兩位前後任掌管國家資安政策發展方向的資安政策操盤手,也出現難得一見王見王局面。
王見王的與會者分別是:前朝一路從科技政委、科技部長、行政院副院長就擔任政府資訊長與資安長的前行政院長張善政,以及現任負責國家資安政策發展方針的國家安全會議諮詢委員李德財,兩人同時獲得中華民國電腦學會105年度電腦學會會士(CSROC
Fellow)的獎項肯定,而獲獎的原因則是,兩人在擔任公職期間,對於資訊以及資安相關議題有顯著貢獻而獲得會士的肯定,都是臺灣資訊人之光。
在資安即國安政策下,政府大幅提升資安預算
張善政和李德財雖然在公職生涯上有前朝和當朝的區別,不過,兩個人的共通之處在於,不僅都熟知臺灣政府在網路空間鎖面臨嚴峻的網路攻擊與威脅,也都意識到,政府的政權如果要能夠穩定發展,資訊安全絕對是執政者必須十分嚴肅並審慎重視的議題。
在電腦學會的論壇對談中,張善政認為,因為「資安即國安」政策方向獲得一致肯定,從總統府到行政院都可以做到一以貫之,最明顯的展現就是,現任政府對於資安預算大幅提高,從政府資安預算編列、資安人才培訓一直到資安產業推動等,資安預算都比前朝政府提高。「提高資安預算,是他在擔任公職任內,想做卻沒能做到的事情,」張善政表示,很高興看到現在政府願意突破政策和預算上種種的限制與困境,在資安領域編列更多的預算。
李德財在論壇中也提到,因為去年爆發第一銀行的ATM盜領事件以及今年初的券商遭到DDoS攻擊後,「危機也是轉機,」大幅帶動金融業對於資安的重視和投資;加上政府揭櫫「資安即國安」的政策發展方向下,產業界對於資安的重視,也有助於國家資安政策方針的推動與落實。
不論是政府或企業彼此雖然因為產業規模有所不同,願意投資資安的預算也有很大的差異,但是,李德財希望藉由編列比較高的資安預算,滿足政府的資安需求,「畢竟,政府部門長期以來,是最大的資安產品和服務的需求者。」至於企業的部份,則希望可以透過提高資安研發投資的金額,以及成立資安緊急應變小組(CSIRT),有助於臺灣整體資安能量的提升。
張善政離開公職之後,現在擔任台哥大慈善基金會董事長,和教育部與學者合作,投入改善偏鄉數位落差的領域;同時身兼提供資安在職人才進修管道的交大亥客書院院長一職。李德財稱讚張善政是過往對資安著力最深的行政首長,回到民間後,仍不忘積極投入資訊程式教育與資安的推廣和提升。他希望,未來也可以集結更多民間的能量,由政府提供更多的媒合機制,「不論是改善偏鄉地區的數位落差,甚至是進一步提升資安意識等等,政府與民間未來都可以有更多合作的機會。」他說。
國家級資安的重要性超越黨派,資安政策才有延續性
兩位前後任資安政策操盤守王見王不見任何肅殺氣氛,在談到資安政策對於國家發展時,不論是張善政或是李德財都有一致的共識,那就是:資訊安全就是國家安全的一個重要環節,資安的重要性並不會因為政黨輪替或者是不同黨派的對政策的歧異而有減損,甚至於,如果沒有更好的資安政策規畫之前,部分政策的蕭規曹隨,也無礙現任執政團隊對於資安的重視。
舉例而言,以資安處負責前瞻基礎建設計畫為例,強調要落實中央與地方的區域聯防,這是前朝政府就一直在推動的方向;到了現在政府要編列特別預算時,資安處則趁機把餅做大,連基層公務機關十年沒有汰換的、還在使用老舊微軟XP作業系統的老舊電腦,已經成為政府機關明顯資安漏洞的環節,則透過設備汰換和結合資安服務,降低基層機關的資安風險。
若從行政院的政府年度施政報告的內容來看,科技部份一直都是政府施政的重要環節,有許多的施政脈絡,也是從前朝一直到現在政府都持續在邊做邊修正的。例如,前朝政府規畫的2016年政府施政報告中,就特別強調要「提升資安組織效能、改善資安基礎環境、完備資安管理法規」;到現在政府規畫的2017年施政方針中,也特別強調,要重視「健全資通安全法規與組織,加強軍民通用資通安全核心關鍵技術研發,促進資通安全產業發展」。
行政院資安處在2016年8月1日正式成立後,儘速制定並通過資通安全管理法這部資安專法,更是科技政委吳政忠所下達的第一份軍令狀,目前因為在盤點政府資安人才缺口而有所延遲,但預計在今年九月立法院第四會期開始前,將會通過資安管理法三讀。
現在政府推出的資安管理法版本,已經和先前初步規畫的草案內容有不一樣的修正版本,但是每一個法案從構想到最後可以行諸文字,往往經過無數次反覆的討論和修正後,才有可能有文字版本供後續的持續修正。即便,現在的資安管理法版本和先前以有不同,但也是在前面版本上,再重新修正討論出新的架構與方向。
從這種種的跡象來看,資安政策在政府政策上具有一定的延續性,也顯示,資安不僅是所有執政者都在意的議題,在許多的政策制定上,更容易站在前人的基礎上再發揮。當然,目前資安相關議題也是跨黨派都有共識的議題,對於資安扮演臺灣資訊競爭力發展關鍵,都具有共識。
從強化資安研發與成立資安團隊,提升臺灣資安量能
目前臺灣對於資安需求最高產業,以八大關鍵資訊基礎設施(CIIP)以及國防產業為主,因為需求攸關國家安全,李德財認為,某些比較關鍵的資安需求,並不見得適合全盤依賴國外資安大廠所提供的產品和服務。
為了提升臺灣資安產業的研發能量,除了透過政策上的鼓勵,希望政府部門可以優先採購臺廠的資安產品和服務,希望藉由政府提供一個較大規模的資安產品測試場域,可以提升臺廠資安產品和服務可以從既有的中小型產品,提升為可以適用較大規模的資安產品及服務。
李德財表示,臺廠的資安業者還包括一些小型、利基型的資安業者後來被國外資安大廠併購,也包括在臺灣有成立分公司的國外資安業者等,希望可以和這些資安業者進行研發合作,藉此提升臺灣資安產業能量。
要提升臺灣整體資安能量,除了必須要提高臺灣資安產業的研發能量外,李德財認為,網路是沒有邊界,許多大型企業也是駭客鎖定攻擊的對象,臺灣大型企業其實也必須扮演臺灣網際網路環境的資安守門員,一起捍衛網路安全。
所以,李德財在過去一段時間,便積極和許多臺灣頂尖企業洽談,鼓勵這些業者加碼資安投資,例如導入SSDLC(安全軟體發展生命周期)以改善自家產品的安全性;或者是加碼在臺灣成立資安研發中心;也鼓勵更多臺灣企業,成立因應各種資安事件與攻防演練的資安緊急應變小組;甚至於,讓一些臺灣業者思考將原本的資安部門獨立成資安公司。據了解,目前這些願意提升資安量能的企業,除了傳統的資安系統整合業者外,也不乏許多是高科技製造業者甚至是金融業者等,都願意提升資安領域上的投資。