台灣資安政策應該主動面對網路犯罪與網路攻擊

友善列印版本

澳洲政府網安中心(Australian Cyber Security Center)近日公佈今年(2017)的網路安全威脅報告,針對澳洲四大被攻擊目標,包含政府、企業、家庭與個人、網際網路與通訊服務商做出網路安全威脅樣態、數量、統計與分析。提出網路犯罪對澳洲的國家安全與經濟繁榮所帶來的影響與潛在風險,對於特殊且經常遭遇攻擊的行業,提出專業的建議來讓該行業的決策階層知所防範。由於網路犯罪的特性,高報酬與低逮捕率,每一次的成功犯罪都會引發未來更多與更進一步的犯罪活動。

台灣在行政院資安處所主導的資訊安全管理法與發展藍圖中,並未如歐盟NIS將數位服務提供者納入法令規範對象,也未如新加坡將資訊服務提供者及資訊服務廠商納入規範對象,也未仔細規劃提出作法如美國和新加坡,因應犯罪技術與模式的日新月異,產業受資安攻擊和威脅時須即時有效處理的需求,而授權主管首長可隨時修改。從台灣資安推動進程的第一期「機制計畫期」16年前開始,我們也未看到政府如同澳洲政府主動公布網路安全威脅報告,告訴個人、家庭、企業和政府機關如何應該防備哪些攻擊?發生被攻擊事件時應如何阻斷或是通報?

我們先以第一銀行資安事件為例,國際犯罪集團以一銀倫敦分行為入侵點,再經過內網竄回台北的一銀總行,搜尋並潛入ATM伺服器來遠端控制ATM。政府是否揭露與告知足夠的訊息,讓全國人民增長資安知識?讓全國各銀行知道如何於國內外據點做出適當的防範提升作為?讓企業知道如何控管國內外分公司資訊系統來防範類似攻擊邏輯的方法?讓政府的國內外各機關知道如何控管單位的資訊系統,改善資料安全防護水平?再從幾天前的遠東銀行資安事件來看,每一次的資安事件發生後,政府是否能迅速地發布網路安全威脅文件與召開記者會來告知人民和企業應該如何防護類似的攻擊方式,以避免個人或是企業未來可能發生損失?而不是偵查進度的報導。

台灣資安推動已經邁入第五期,也就是第十七個年度,小英總統上任組成新政府已經一年多了,如果現今的做法我們已經看到許多的缺點,行政院所提出的修法草案似乎也有許多需改進之處。我們理解因為政府法規限制問題,難以提出比民間更優渥的條件來招募更多的傑出資安人才,但希望政府能夠突破現有法規限制框架,持續改革與強化資安團隊的專業能力與組成。

民間對於資安問題非常關心與焦慮,特別是金控和ICT產業,如果只是依然經常看到官員和推銷資安產品與服務的廠商在研討會高談闊論互相取暖,而不是談如何執行與建立有效能的資安生態體系,我們對政府設定全力培育台灣資安產業和人才、建構與堅實保衛台灣國家安全與資安環境的目標達成,是非常憂心和焦慮的!

 

作者