【TWISA會客室報導

TWISA No.13 九、十月號 (2022)

台灣資安主管聯盟 金慶柏會長

CISO、TWISA 攜手合作 共創雙贏新局面

在特殊地緣政治因素影響下,臺灣向來是遭受資安攻擊最頻繁的國家之一,近幾年更頻頻傳出各產業遭到駭客入侵的事件,對公司營收、商譽等損失更難以估計。為協助臺灣產業因應日益嚴峻的資安威脅,在台北電腦公會(TCA)協助下,2022 年4月28日臺灣資安主管聯盟(CISO)正式成立,由華碩集團資安長金慶柏擔任會長, 期盼透過促進臺灣各產業資安主管之資訊安全技術應用與經驗交流、培育資安專業人才、法規遵從,提升臺灣產業資安韌性,促使企業永續發展。

CISO 會長金慶柏說,從金管會要求金融業者必須設立資安長職位開始,到後來透過修正公司法,要求一定規模的上市櫃公司都必須設立後,讓申請加入 CISO 聯盟的公司越來愈多,目前已有 87家會員,並有超過 100 多家公司提出申請。現階段聯盟會員組織都是以企業用戶為主,第二階段則會評估讓學界、研究單位、資安業者加入。2021 年 CISO 聯盟尚且在籌備階段時,就開始向主管機關提出建言,其中支付勒索軟體贖金的費用化、資安投資抵減等,都已經獲得政府正面回應,未來我們也會持續收集會員意見,回饋給相關主管機關。


擴大合作面向 提升台灣產業防護力

在政府大力扶植資安產業下,帶動愈來愈多新創團隊投入資安產業領域,目前臺灣資安產業規模約在 3~400 家左右,也催生出不少亮眼的資安新創公司。由於近來臺灣企業紛紛傳出遭到勒索軟體攻擊的憾事,CISO 聯盟認為若能與 TWISA 聯盟深入合作,除能讓台灣整體資安防護能量獲得改善外,也可提升資安產業在國際市場的競爭力。

金慶柏指出,雖然臺灣企業愈來愈重視資安,然發現並非每個會員在爆發資安威脅事件時,都知道如何採取相對應的處理方式,乃至於找到合適的資安廠商協助。目前 CISO 聯盟是透過彼此經驗的分享,協助會員強化整體資安防護機制,以便能在第一時間回應資安威脅。因此,當深入與 TWISA 聯盟之間的交流,可讓會員掌握最新資安情資與技術,在資安產品、服務、夥伴也會有更多元選擇性。

儘管多數臺灣資安公司營運不大,金慶柏認為在臺灣整體資安市場規模有限下,因此建議資安業者應該將目標放眼全球市場。特別當要與國際資安品牌抗衡,最好方式即是透過團隊合作方式,才能強化在國際舞台的競爭力,順利切入亞洲、歐美市場。特別是當有成功案例出現時,應該有助臺灣資安品牌獲得其他歐美企業的青睞。

除此之外,許多包含華碩集團在內的國內大型企業,原本就在不同領域尋找合適的投資新創團隊。未來兩大聯盟深入合作之後,CISO 聯盟會員應該會有興趣投資新創資安業者,進而加速朝向國際市場邁進。

施鑫澤 CIO IT經理人雜誌總主筆

TWISA No.12 八月號 (2022)

何全德顧問

創新科技與服務持續湧現 重新審視資安法最佳時機

鑑於全球資安事件頻傳,以及駭客開始將攻擊目標鎖定關鍵基礎設施,加上台灣因特定地緣政治因素,公務機關向來遭到特定國家級駭客組織的攻擊。有鑑於此,2018年5月行政院制定的資通安全管理法經立法院三讀通過後,已於2019年1月1日正式施行,期盼透過逐步推動與實施的方式,逐步強化公部門與關鍵基礎設施的防護力。

行政院數位發展部籌備工作小組諮詢委員何全德指出,資安法規劃之初,主要是以提升國家安全的角度出發,當時並沒有將電商、民間企業納入。然在現今數位化程度日深,民眾對數位科技依賴日高的環境下,整個資安環境與資安法規劃時有很大差異,不光AIoT、智慧車、無人機等新應用背後隱含資安疑慮,俄烏戰爭、中國軍演等,亦引爆認知作戰的討論。由於資安法推動至今已邁入第四年,整現階段確實有必要審慎評估資安法的,才能更符合現今環境的需求。

在迎合政府組織轉型的前提下,受關注的數位發展部將於2022年8月27日正式掛牌,營運初期目標將鎖定在建構數位服務跨域的協力典範、完備數據公益生態制度及應用、促進跨國公民科技與資料民主化的共同發展等面向。然負責台灣資安策略規劃的數位發展部屬於三級機關,位階比過去的行政院資安處要低,不少人認為恐怕會影響到推動資安政策的力度。

何全德指出,依照現行台灣公部門體制,相關業務規劃與推動,最終必須由行政院旗下的部會負責,所以成立數位發展部是符合國家體制,且不會政府推廣資安政策的決心。以內政部營建署為例,就是負責全國建築法規事務,無論建案大小都必須通過該單位的審核。數位發展部也會統籌全國資安政策規劃,乃至於負責資安管理法的推廣與執行等業務,加上人力、預算都已經到位,絕對可期待該單位日後的表現。

數位發展部掛牌的另個重要意義,何全德認為是帶動台灣資安產業的發展。儘管現行台灣ICT產值非常高,但絕大部分都是集中在硬體製造,軟體與服務的比重不高。而數位發展部主要工作是負責推動數位政策的創新與變⾰,自然也涵蓋ICT產業的結構變革與數位轉型,可望透過產業輔導與獎勵方式,擴大軟體與服務的比重。

另外,過往資安產業要進軍海外市場,初期往往需要花費大量成本在行銷上,且不一定能達成預定目標。現今在雲端服務盛行,成為企業不可或缺的重要平台後,台灣資安產業可以最少成本推出雲端資安服務,快速切入國際市場。近幾年有不少資安新創業者表現非常亮眼,加上在資安分工日益細膩下,何全德建議台灣資安產業可選擇自身優勢的角度切入,可望在國際舞臺上有亮點的表現。

文 施鑫澤 CIO IT經理人雜誌總主筆

TWISA No.12 七月號 (2022)

中華民國立法院立法委員 高虹安

持續關注資安產業發展 立法院跨黨派委員目標

在獲取龐大經濟利益下,駭客一直擴大攻擊範圍,特別是在疫情期間更趁機作亂,亦將目標鎖定臺灣高科技業者,不少知名廠商都爆發遭到勒索軟體攻擊的憾事。根據趨勢科技最新發佈的2021年度網路資安報告,疫情期間駭客正持續透過各種惡意程式與手法,提高針對企業和個人的攻擊頻率。2021年該公司整年度所偵測到的全球勒索攻擊數量,臺灣位列在全球前十名、亞洲區前五名,也代表企業數位基礎架構與遠端工作者將面臨更高的資安風險。

除民間企業之外,臺灣政府機關頻遭網軍資安攻擊,根據行政院統計資料顯示,2021年度包括中央與地方公務機關通報多達696資安事件,較2020年的525件成長逾30%。2021年度資安事件中,以遭到非法入侵的型態為最大宗,比率高達63.32%。而較為嚴重的三級資安事件,比率占2.37%,其中有部分機關發生個資外洩。

民眾黨不分區立法委員高虹安說,根據我們長期觀察,臺灣企業、公部門等整體資安意識仍然有待提升,不少企業甚至還沒有將資安視為必要的工作。目前企業會關注資安工作大致上可分成四類,首先因應金管會的新版「公開發行公司建立內部控制制度處理準則」,在設立資安長之外,也被迫正視資安議題。其次,則是因承接政府相關標案,必須有7%預算運用在資安上。第三點,則是在供應商夥伴要求下,而建置符合相關防護機制。最後,則是公司已遭到駭客入侵,為避免再度發生相同事件,於是開始尋求資安公司協助。

若要強化企業的整體資安意識,除透過「公開發行公司建立內部控制制度處理準則」等法規要求之外,提供投資抵減也是個方法。高虹安表示立院已在第五會期時,通過《產創條例》修正案,將資通安全產品與服務投資納入營所稅抵減項目,鼓勵企業主動強化自身整體資安防護能量。

高虹安指出,若要提升臺灣整體資安防護能量,除了運用投資抵稅的策略之外,也必須要培育足夠的資安人才,才能讓企業有人力可執行相關業務。根據統計,臺灣的資安人才缺額高達4萬人以上,光是政府機關資安人才就不足千人以上,缺額率達到30%以上。而臺灣若要自主培育資安人才,也有專業資安師資不足、業界導師不一定有空的困境,我們也會要求教育部、國發會提出相關因應之道,並透過與TWISA等協會討論,建立一套合宜的人才培育制度。


重新盤點篩選標準 全力扶植新創公司

隨著資安升級到國安議題,國家自主發展資安產業更得重要。只是受限於臺灣市場規模,以至於資安產業規模一直無法擴大,也無法與國際品牌抗衡。為協助臺灣資安產業搶攻龐大商機,行政院除將資安產業納為「5+2產業創新計畫」一環外,2018年更通過「資安產業發展行動計畫」,規劃利用臺灣在半導體、晶片、資通訊產業優勢,整合5+2產業創新、新南向、留才與攬才等計畫資源,打造臺灣產業優質安全品牌,穩固國內關鍵基礎設施資安環境,進而扶植資安產業進軍國際市場。

資安產業發展行動計畫係以「建立全球資安產業創業基地、打造臺灣產業優質安全品牌」為願景,從「建立需求導向之資安人才培訓體系」、「聚焦利基市場並橋接國際夥伴」、「建置產品淬煉場域,提供產業進軍國際所需實績」、「活絡資安投資市場並全力拓銷國際」。期盼能在2025年,達成扶植新創公司累計達40家,產值成長至780億以上。

高虹安說,如同前面提到,臺灣資安公司規模多數都不大,最常見營運模式是引進國外產品之後,再由臺灣資訊服務公司提供相關技術支援。短期內雖然可協助臺灣企業提升資安防護力,但是長期來說,還是應該要更注重投入自主技術能力的臺灣資安公司,才不會發生技術掌握在國外業者手上,無法實踐資安技術自主的目標。

另外,在新創公司篩選的部分,高虹安說表示要深入了解國發會的篩選與評估標準,是否真的將相關預算運用在合適的業者上。因為,在其他產業中,部分受到補助的業者,其營運規模都已經不小,早已經脫離新創的範疇,所以會協助了解新創公司的評估表準。


資通安全署即將掛牌 立法院全力關注後續

為促進全國通訊、資訊、資通安全、網路與傳播等數位產業發展、統籌數位治理與數位基礎建設,及協助公私部門數位轉型等相關業務,行政院特別設立數位發展部,預計2022年8月掛牌。值得一提,數位發展部下設三級機關,分別是資通安全署、數位產業署,其中資通安全署將由行政院資安處升格,辦理國家資通安全政策規劃、計畫核議及督導考核,執行國家資通安全防護、演練與稽核業務及通訊傳播基礎設施防護,以便將資安資源與管理做到向上集中。

雖然資通安全署是由行政院資安處升格,但畢竟仍然是三級單位,引進外界不少疑慮,擔心反而讓資安相關政策推動不易。

高虹安表示,在資安等於國安的趨勢下,確實已接到不少公協會的反應,如TWISA等,主動表示擔心位階過低,恐不利於資安政策推動。所以會將此事件列為重要事項,預計2022年9月新會期開始時,仔細審查相關組織章程,避免發生資安政策推動延宕的情事;此外也很早就成立跨黨派的【立法院資安科技策進會】,共同關注行政院的相關政策,未來也收集TWISA等協會的意見,讓整體相關資安政策更符合產業需求。

資安是全球非常關注的議題,在立法院向來受到跨黨派議員的關注,未來高虹安立法委員辦公室也將持續與產業、協會保持緊密聯繫,期盼達成扶植資安產業發展、改善整體臺灣資安環境的目標。

文 施鑫澤 CIO IT經理人雜誌總主筆

TWISA No.11 六月號 (2022)

趨勢科技股份有限公司
台灣區暨香港區 洪偉淦總經理

資安攻擊日益複雜 應加速建立資安生態圈

為強化因應各種突發事件的能力,近兩年全球企業正加快推動數位轉型速度,而駭客組織也趁此機會擴大攻擊力道,導致疫情期間各地爆發資安事件數量,比過去多出數倍以上。此趨勢,趨勢科技認為可歸咎於兩個原因,首先受惠於加密貨幣興起,駭客取得贖金比過去更安全、難以被追蹤,自然也吸引更多犯罪組織投入此高報酬、低風險的產業。其次,鑑於資安設備偵測能力增加,駭客組織也投入研發新型態、複雜化的攻擊手法,並擴大攻擊範疇,確保能持續取得龐大經濟利益。

趨勢科技總經理洪偉淦說,企業在推動數位轉型過程中,勢必得把作業流程、服務流程等高度資訊化,若事先沒有仔細評估、規劃,很容易形成防護上的漏洞,給予駭客入侵的機會。面對日益複雜的資安攻擊手法,早已不可能僅靠防毒軟體抵禦,唯有透過多套資安工具之間的搭配,才能在第一時間察覺潛在的威脅。面對資安趨勢變化,近幾年趨勢科技正持續擴大資安產品範疇,推出網路偵測、回應、事件應變等解決方案,助企業強化防護力。

只是企業要強化資安防護力,不光需要添購合適的資安設備,也必須從檢視商業流程、軟體開發流程等面向著手。由於資安範疇非常大,更涵蓋流程規劃等面向,趨勢科技深知不可能單靠一己之力完成,近幾年正積極與各領域業者合作,助企業完善整體資安防護架構。未來,趨勢科技也希望有機會與TWISA會員合作,創造更多的可能合作機會。

面對國際大廠競爭 台灣應從技術服務著手

在資安等於國安的思維下,近幾年台灣政府在制定相關資安法規,如資安法、個人資料保護法之外,也藉由多個面向扶植資安產業發展,希望透過國家隊方式協助資安業者進軍國際市場。近幾年,台灣市場出現有不少具創意、技術能量的新創資安公司,為資安產業注入一股活水。

洪偉淦指出,新創公司進入市場之後,勢必會面臨國際大型資安公司的競爭,因此需要審慎思考因應方式,否則不容易從市場中脫穎而出。國際大型資安公司的解決方案,由於已經多個國家的考驗,所以在功能上不會有太大缺點。唯一不足之處,在於技術支援服務必須仰賴台灣代理商協助。因此,我建議新創公司應該從強化售後技術服務著手,才可能逐步爭取到客戶的信任,奠定公司長久營運基礎。

從資安法實施,到近期金管會要求上市櫃公司必須設立資安長等,都能感受到台灣政府在資安政策上的努力,也為資安產業創造更多機會,給予新創公司累積成功案例的機會。然各產業面臨的狀況不同,不能僅靠產業主管機關,應該要進一步指定擁有公權力、專業知識的監理、執行單位,才能助逐步執行前述資安政策,讓台灣整體資安環境更為健全。

文 施鑫澤 CIO IT經理人雜誌總主筆

TWISA No.10 五月號 (2022)

行政院科技會報
李育杰副執行秘書

全力培育資安人才 資安卓越中心力動產學合作

蔡總統於2016年定調「資安即國安」政策,並推動六大核心戰略產業-資安卓越方案,全力輔導資安產業發展之外,也透過實施資安法制度,要求各公部門、關鍵基礎設施維運者等強化資安防護機制。鑑於台灣資安人才不足,行政院亦在即將掛牌的數位發展部中,設立資通安全署,並成立國家資通安全研究院,下設技術服務中心及成立資安卓越中心,以頂尖資安實戰人才養成為目標,提供資安課程培訓及實戰演練,以戰代訓,協助國內資安技術人員增進實務能力,強化資安技術。在規劃中,資安卓越中心將成立網路威脅防禦實驗室、網路數據分析實驗室、先進密碼實驗室等,分別投入挖掘網路潛在威脅、網路行為分析、量子密碼學等專案,期盼藉此厚植台灣資安產業的技術能量。

負責資安卓越中心規劃建置計畫工作的行政院科技會報辦公室副執行秘書李育杰說,人才培育亦是資安卓越中心的重要工作項目之一,2021年在中心籌備期間,我們就已經與HITCON合作開設頂尖人才培育課程,除政府單位的資安人員參與之外,也開放給資安公司的工程師,以及擁有2年工作經驗的大型企業資安人員參加。此課程共有54人參加,最後有51人通過測驗與考核,相關課程未來也會持續舉辦。

為培育台灣產業所需的資安人才,同時提升台灣資安產業的技術能量,尚未掛牌的資安卓越中心,在行政院科技會報辦公室協助下,已透過多元管道與台灣資安產業合作。如以台灣自主開發的資安攻防平台為例,即是由新創資安團隊協助開發,是一套以藍軍角度出發的平台,有助於訓練資安人員在面臨駭客攻擊下,採取最佳資安防護策略。而未來資安卓越中心成立之後,也會依照技服中心等機關單位的需求,投入相關資安產品、技術研發,並將資安技術轉移給民間資安業者,同時鼓勵中心的資安人才與企業交流,全力提升台灣資安產業的能量與研發實力。

李育杰認為,在全球日益重視資安議題下,以及供應鏈攻擊議題興起下,原本就有相當不錯評價的台灣資安產業,絕對有在國際舞台大展長才的機會,但同時廠商必須提升自身與合作夥伴的資安成熟度。建議業者可考慮參酌CMMC規範進行自評,有助於避免供應鏈攻擊事件,進而爭取國際客戶的認同與合作機會。另外,台灣資安產業營運模式也應該要改變,可評估朝向SaaS模式發展,以便可接觸更多國際客戶,當然政府也會在品牌宣傳上給予最大協助。

為鼓勵台灣學界與資安產業合作,資安卓越中心也已經與TWISA的奧義智慧合作,將提供最新資安情資給國內各大學使用,作為學校開設資安課程、培育人才之用,讓資安人才能與產業需求接軌。


文 施鑫澤 CIO IT經理人雜誌總主筆

TWISA No.9 四月號 (2022)

專訪社團法人台灣E化資安分析管理協會
王旭正理事長

ESAM協會攜手TWSIA 共同扮演台灣資安產業堅強後盾

鑑於台灣上市櫃公司頻頻遭到駭客入侵,2019年行政院先是推動資安法,2021年金管會則開始要求銀行、保險、證期業者等金融業者,必須設置資安專責單位,提升企業回應資安威脅的能力。2021年9月金管會更進一步要求銀行與一定規模的保險與證期業者,必須在2022年3月底前完成設立資安長,以便能夠落實相關資安制度。而隨著2021年12月28日金管會正式發布新版「公開發行公司建立內部控制制度處理準則」,明定資本額破100億、前50大市值的上市櫃公司,都需設置資安長的職位,讓台灣資安法規能與國際接軌。

儘管要求上市櫃公司設立資安長一職,確實有助於提升企業的整體資安防護能量。然目前全球都陷入資安人才不足的窘境,因此金管會推動此政策,也引起台灣上市櫃公司不少反彈的聲音。

社團法人台灣E化資安分析管理協會(ESAM協會)理事長王旭正認為,設立資安長是一刀兩面刃的制度,畢竟若沒有透過法規強迫規定,企業勢必抱持能拖則拖的心態,將難以落實資安制度。而強制設立資安長職位,確實會讓企業陷入難以招募專業資安人才的困境,所以多年來我們 ESAM 早已著手開辦各種資安課程,如資安鑑識系列等,全力協助業界培育資安人才。特別是肩負重責大任的資安長,若能撥空參加初級相關需求資安課程,對於規劃與推動公司資安制度與政策,將會有極大的幫助。

學界與產業合作 理論與實務結合

創立於2018年8月的社團法人台灣E化資安分析管理協會,主要從事E化資訊安全的分析管理與學術研究,並與政府、產學及國際資安機構交流與合作,推廣資訊安全應用與發展,培育資安專業人才,協助企業、產業評估資安分析與風險為宗旨。

因應資安事件持續爆發,業界與企業對於資安鑑識需求大增,期盼從中找到駭客入侵管道與受害程度,因此協會已開設一系列的資安鑑識課程。除此之外,還有資安鑑識課程:資網料敵機先-資安情資偵蒐解析與資料保護、鑑定實務、網路資安-虛擬貨幣實務與區塊鏈等熱門議題,都是值得資安人員深入學習的課程。

王旭正表示,回顧成立社團法人台灣E化資安分析管理協會的初衷,主要是想要有個聚焦在資安領域的組織。由於協會有一半成員來自學界,所以也希望能與業界有更多實務交流,透過相輔相成的方式共同成長。如ESAM協會成員與TWSIA沒有太多重疊,若能透過彼此相互學習的機制,讓理論能夠與實務結合,將有助於產業與國際趨勢接軌。

如台灣資安公司的規模較小,多半面臨研究能量與資安人才不足的窘境,可完全搭合舉辦相關國內外與國際產學結合與應用研討會的重要活動,並依需要開設資安課程,強化從業人員的能量,社團法人台灣E化資安分析管理協會可扮演非常重要的窗口,有最好的講座與規劃,扮演前衝學研後防產業提升與後盾,共同提升台灣資安產業在各視野與國際上的知名度。

文 施鑫澤 CIO IT經理人雜誌總主筆

TWISA No.8 三月號 (2022)

專訪中華民國資訊安全學會
范俊逸理事長

實踐精準資安觀念 打造客製化資安架構

隨著資安議題延燒,特別是擴大成國安議題之後,企業對資安人才需求量大增,預估全球資安人才缺口高達30萬以上,臺灣資安人才缺口也有2萬人左右。為此,長期從事資訊安全之研究,推廣資訊安全之應用與發展,促進國內外資訊安全之研究與發展的中華民國資訊安全學會,除因應全球資安趨勢變化,每年皆會舉辦全國資訊安全會議之外,也會透過各種研習營等活動,讓更多在校學生了解資安的重要性。

中華民國資訊安全學會理事長范俊逸指出, 我們應該是臺灣第一個舉辦資安活動的組織,隨著資安議題愈來愈熱門,也帶動臺灣各界舉辦各種資安大會的風潮。學會成立目的之一,就是希望扮演產官學的平台,連結不同領域的資源,讓各界了解到資安的重要性。其次,我們每年舉辦資安活動的目的是推廣資安,扮演先驅者的角色,並持續為臺灣引進全球最新的資安觀念。最後,則是扮演與國外合作的平台與管道,讓臺灣資安產業能夠與國外接軌。

至於培育資安人才部分,中華民國資訊安全學會每年不定期開辦各種短期訓練營、專業訓練課程之外,由於范俊逸理事長本身也是國立中山大學資訊工程學系的專任教授(特聘教授),在學校全力支持下已於學士班開設資通安全學程多年。由於資通安全學程內容深受學生與業界肯定,近幾年更進一步經教育部核定通過成立資訊安全碩士班、資訊安全博士班,為臺灣培育所需的資安人才。

企業需求迥異 精準資安概念興起

在資安威脅事件持續爆發下,過去幾年企業資安意識明顯提升,也紛紛擴大在資安領域的投資。只是多數企業營運規模不大,在資安人才尋覓不易、資安預算有限的狀況下,不少公司在建置資安防護架構時,往往都陷入抉擇上的迷思。為此,范俊逸理事長提出精準資安(Precision Information Security,簡稱Precision Infosecurity)的概念,建議企業用戶、臺灣資安廠商、資服業者等,應該先從釐清需求做起,才能打造真正符合營運所需的資安架構。

范俊逸理事長表示,由於每個企業的組織架構、重要資料等均不同,不可能有一套能滿足所有產業需求的資安方案,當資安防護力不足會產生風險,資安防護過多則有成本增加的疑慮。精準資安概念與大家熟知的精準醫療相似,就是針對真正的問題著手,藉由適當的資安產品結合客製化服務,解決現階段最迫切的問題。因此,建議企業在規劃資安架構時,一定要選擇合適的理論依據、技術架構,找出需要保護的資料或服務。

最後,資安防護強度高低與資安成本支出成正比,但並非每個企業、環節都需要高強度的防護,唯有找到兩者之間的平衡點,才能真正達到精準資安的概念,達到保護資料安全、兼顧整體成本支出的雙重目標。

文 施鑫澤 CIO IT經理人雜誌總主筆

TWISA No.7 二月號 (2022)

專訪台灣區塊鏈大聯盟
陳美伶總召集人

區塊鏈應用多元化 臺灣區塊鏈大聯盟扮演產官學合作推手

由於區塊鏈技術具備去中心化、分散式儲存、不可篡改等三大特性,除扮演加密貨幣蓬勃發展的幕後推手外,近幾年也被大量應用於不同情境之中,儼然已成全球新興科技重要趨勢。為掌握此一發展契機,時任國家發展委員會主任委員的陳美伶,於2019年7月12日號召業界、學界及政府部門等成立臺灣區塊鏈大聯盟。期盼藉此促進業界與政府雙向交流、共同推動法規調適、場域應用、技術研發與人才培育,打造新創與創新業者的良好發展環境,進而激發區塊鏈在農業、醫療、金融、能源乃至供應鏈等各應用領域之獨特優勢,引領臺灣朝向數位經濟發展與產業創新轉型。

臺灣區塊鏈大聯盟總召集人陳美伶指出,過去在區塊鏈技術應用萌芽時期,政府並沒有相對應的主管機關,而央行及金管會雖然關注在加密貨幣的發展,因此欠缺整體區塊鏈應用與技術的關注。然自2016年開始,已有不少臺灣企業已有不少投入此技術研究與應用,於是在國發會結合產官學研能量下,共同成立臺灣區塊鏈大聯盟,除可整合臺灣民間企業的能量之外,亦可讓業者與政府建立溝通的管道,使得相關政策更符合業界的需求,有助於進行國內外合作,推動場域應用,促進人才培育,創造業者良好的發展環境。因應不同工作內容,臺灣區塊鏈大聯盟設置法規調適、應用推廣、產學合作、國際發展及公共關係等5個分組。

臺灣區塊鏈服務平台啟用 催生臺灣新創能量

儘管臺灣新創團隊能量充沛,但是若要獨立發展區塊鏈應用,往往得耗費大量時間與成本在基礎架構建置與維運上,對資金與人力不足的團隊而言,是極高的進入門檻。為此,2020年國發會在時任科技部部長陳良基的大力支持下,決定利用國家高速網路與計算中心的「先進人工智慧大數據計算主機與儲存系統第三期」資源,打造臺灣區塊鏈服務平台(BaaS),提供各產業作為發展區塊鏈應用之基礎。此專案由華碩雲端負責,並有邦拓鏈、博斯資訊安全、關楗、國際信任機器、灣谷、晟悅、和誼、墨沫、池安、思偉達等業者參與,為臺灣發展區塊鏈應用奠定重要基石。

陳美伶指出,隨著臺灣區塊鏈服務平台啟用,無論是民間企業、新創團隊、政府機關等,無須自行建置平台、安裝軟體等,只要向該平台申請即可正式使用,整體成本僅為自建的10%。目前申請服務的會員都是以民間企業為主,政府部門因為尚且在摸索階段,希望未來申請使用的比例能夠提升。由於區塊鏈應用範圍非常廣,尤其適合用在政府的數位治理之中,所以國發會也積極推動智慧政府計劃-T-Road(跨機關資料傳輸服務),為提供民眾全程線上申辦服務,同時搭配數位身份證的計畫,期盼能夠仿效愛沙尼亞政府,讓臺灣政府機關24小時都能透過網路為民眾提供服務。

隨著數位發展部即將正式掛牌,區塊鏈法規管理議題也受到重視,陳美伶希望在兼顧資安、個資等前提下,未來主管機關在制定管理規範時應該要分級。如此一來,才能吸引更多新創團隊投入相關應用開發,讓臺灣能在此產業站穩發展腳步,位居世界領先之列。

文 施鑫澤 CIO IT經理人雜誌總主筆

TWISA No.6 一月號 (2022)

專訪工研院資訊與通訊研究所
卓傳育副組長

SECPAAS成績亮眼 盼攜手TWISA助臺灣資安產業躍上國際舞台

臺灣半導體產業在全球執牛耳地位,根據工研院 IEK 研究報告指出,2021 年整體產值超過 4 兆元,僅次於美國。在此基礎之下,除經濟部積極推動半體設備國產化之外,經濟部工業局亦協助資安整合服務平台 (SECPAAS,Security Platform as a Service) 攜手產業界,制定全球首個半導體產業資安標準-SEMI E187,目前已經獲得國際導體協會的認可,堪為臺灣資安產業發展的重要里程碑。

創立於 2018 年的資安整合服務平台,目前由工研院團隊協助維運,期望透過建構臺灣單一整合服務站機制,協助大型指標產業主動發現產業鏈、生產線、服務營運的資安風險與需求缺口,進而創造臺灣市場的資安應用需求。不光如此,該平台也期盼藉由扶植具備自主研發能量的國產資安解決方案,以群戰模式建立大型場域實績,做為持續帶動商機的標竿案例,並協助新興資安企業與國際合作,協力拓銷國際市場。

工研院資通所副組長卓傳育博士說,SECPAAS 剛成立之初的首期工作,就是協助臺灣資安業者將產品上架,透過彼此之間的合作,擴大產業資源與能量。隨著國產資安產業能量逐漸浮現,平台目標轉而為用戶提供服務,如近幾年勒索軟體橫行,對各產業均造成極大衝擊,我們透過國產資安業者協助產業用戶解決相關問題,乃至於建立成功案例,為日後產品銷售鋪路。

攜手 TWISA 強化資安能量

2021 年開始,SECPAAS 則開始推動主題式研發、POC 專案等計畫,藉此擴大臺灣資安產業的能量與實力。主題式研發訴求由資安產廠商或 SI 業者帶頭,攜手 5 家以上夥伴共同針對指標性客戶面臨的問題,設計一套可整合不同品牌產品的解決方案,協助客戶解決場域中面臨的問題,2021 年共有 5 個專案獲得補助。至於 POC 專案方面,則是協助國產資安品牌業者進行產品功能驗證,2021 年則有 7~8 案通過申請。

卓傳育表示,2022 SECPAAS 工作計畫,在原有的主題式研發、POC 專案之外,也會增加 A 隊演練,至於詳細內容、相關辦法大約在 2022 年 3 月會比較清楚。另外,我們也規劃推動企業資安評級制度,協助用戶了解自身的資安防護等級,作為後續改善的參考。由於前述種種計畫都需要資安專家協助完成,所以我們希望能與臺灣資訊安全協會合作,讓前述計畫能發揮原有的功效。

以企業資安評級制度為例,雖然 SECPAAS 會提供相關問卷工具,不過仍然需要專業資安廠商協助規劃相關機制、流程、後續輔導工作推動等,才可能達成預設目標。此外,在 POC 專案部分,也同樣希望由資安專家扮演導師角色,協助專案團隊聚焦問題、解決挑戰。

臺灣資安市場規模不大,臺灣資安產業勢必要走向國際市場,才能逐步成長、擴大。工研院與歐洲、日本、矽谷創投等都有長期合作關係,希望能夠透過與臺灣資訊安全協會進行更深入合作,全力將臺灣產業推向國際舞臺。

文 施鑫澤 CIO IT經理人雜誌總主筆

TWISA No.5 十二月號 (2021)

專訪台灣智慧雲端服務股份有限公司 吳漢章總經理

善用臺灣資安協會能量 推廣臺灣AI雲平台

在扶植臺灣AI產業發展下,科技部攜手華碩、廣達、台灣大哥大等業者,共同打造臺灣杉二號-臺灣AI雲平台。此平台整體運算能力達到9 PFLOPS,於2018 年拿下全球超級電腦排行第 20 名、全球能源效率排行第 10 名的佳績,2020年全球超級電腦排名依然高居28名。為讓更多企業以此平台發展AI應用服務,同時吸引更多新創團隊投入AI應用研發,台灣智慧雲端在華碩投資下成立,延攬數十位來自國網中心的工程師,負責臺灣AI雲平台的研發、維運、銷售等工作,而國網中心則持續負責學術單位服務工作。

目前,台灣智慧雲端是臺灣第一家可提供機敏資料落地,前瞻AI應用發展的雲端高速運算及海量儲存之雲服務運營商(CSP),透過臺灣 AI 雲平台可提供各種產業數位發展所需的AI智慧應用服務及雲架構解決方案,協助產業快速進行AI智慧應用訓練、部署及數位經濟推廣,並致力於數位資料價值提升。

台灣智慧雲端總經理吳漢章說,臺灣 AI 雲平台座落於國網中心,具備提供資料主權管理、機敏資料安控落地不出境、法遵合規應用等三大優勢。此專為AI應用設計的雲平台,擁有臺灣最大AI高速GPU運算力,與國際級營運服務品質承諾 SLA,有助於加速各種產業智慧應用的模型訓練、場域驗證、營運服務落地及效益擴展等。

雲端服務首重資安 台智雲持續引進新方案

在協助企業發展AI應用的前提下,台灣智慧雲端不斷擴充臺灣AI雲平台的服務項目,如因應聯邦式學習興起,2021年10月新增NVIDIA Clara SDK,讓不同產業可快速在AI雲平台上啟用聯邦式學習專案,加快AI演算法的分析。至於企業用戶最擔心的資安問題,除平台本身符合臺灣主管機關的資安要求之外,台灣智慧雲端也針對租戶提供防火牆、IPS等租用服務,讓用戶可依照自身專案需求,租用合適的資安解決方案。除此之外,台灣智慧雲端也透過與臺灣資訊安全協會合作,開始在平台上測試各種臺灣資安廠商的資安服務,除提供用戶更多元化的選擇外,亦可推廣到海外市場。

吳漢章指出,企業對於使用雲服務與否的關鍵之一,就是資料能否獲得妥善保護,我們除提供AI雲端服務之外,也可協助規劃資料分類,讓企業在享受AI服務之虞,也能做好資料保護的工作。為讓更多用戶能安心使用AI雲服務,我們也透過與臺灣資訊安全協會合作,目前正在測試一個log收集與分析的方案,且成效已獲得某知名企業的肯定,相信未來還會有更多資安服務與案例出現。

除在臺灣AI雲平台的合作之外,華碩集團在東南亞的銷售成績非常好,有非常縝密的PC、伺服器銷售通路。當地企業對資安需求也非常強烈,未來華碩集團也能與臺灣資訊安全協會合作,共同攜手耕耘東南亞市場,將臺灣資安產業向國際市場。

文 施鑫澤 CIO IT經理人雜誌總主筆

照片來源 https://news.knowing.asia/news/c22ea8d5-3e12-40d2-9c14-c529ffa31cfd

TWISA No.4 十一月號 (2021)

專訪台灣數位治理協會 陳春山理事長

兩大協會攜手合作 催生資安國家隊

在疫情催化下,數位轉型議題正在全球各地發酵,即便是向來處於觀望的台灣企業,亦加速引進各種科技積極推動。 只是企業在推動轉型過程中,若沒制定合宜數位轉型策略,注重數位治理趨勢與發展,終將面臨被市場淘汰的命運。台灣數位治理協會認為應該要從P(Public)P(Private)P(Parter)等三大面向著手,即數位願景、數位產業、數位夥伴等。

因應數位化浪潮,行政院規劃成立推動數位發展部,負責整體規劃數位發展政策,整合電信、資訊、資安、網路與傳播五大領域,以統籌基礎建設、環境整備及資源運用業務,期能達到確保國家資通安全、促進數位經濟發展及加速國家數位轉型之目的。

台灣數位治理協會理事長陳春山說,行政院成立數位發展部絕對是好事,有助於實踐台灣推動數位國家的願景,但是若要推動政府組織推動數位轉型,勢必要有行政院層級的力量支持,才能協調跨部會合作,推數位法治改造,取得整體社會的信賴。特別是在發展醫療AI過程中,大家都非常關注隱私問題,我們希望數位治理協會能為政府機關提供相關建言,讓整體數位法制環境更為健全。

台灣過往著重在硬體發展,在全球數位浪潮下,電子產業也漸漸開始注重韌體,擴大在相關領域的投資。因此,在數位產業部分,則是希望在電子5哥的帶領下,帶領台灣軟硬體產業的升級。而台灣在推動產業數位轉型過程中,也需要成立國家隊,如台灣資安產業規模較小,單一公司難以與其他個家競爭,因此可成立2-3個國家隊。最後在數位夥伴方面,台灣數位治理協會能與台灣資安協會合作,促進資安國家隊逐步實現。

在資安等於國安的趨勢下,資安產業整體規模向來非常可觀,也是推動數位遠景、數位轉型的重要因素。特別是在智慧工廠的AIoT、Bio Bank等應用情境中,若組織、企業忽略資安的重要性,勢必會面臨難以預期的挫敗,也無法達成預期的目標。

陳春山指出,台灣數位治理協會與台灣資安協會合作模式,希望以逐步擴大合作面向的方式,保持深厚與緊密的合作關係。首先,2021年1.0階段比較偏向相互了解,規劃未來能夠合作的方向。而2022年合作則進入2.0階段,即時尋找2~3家大型企業,洽談合作建立旗艦合作成功案例,希望能在2022年上半年、下半年等,都至少能有一個成功案例出現。

當企業旗艦隊成立之後,台灣數位治理協會與台灣資安協會的合作面向,則是希望能進一步結合政府的資源,朝向國家隊的目標前進。當國家隊成形後,初期先著手參與國家重要建設,確保整體專案的品質,展現台灣資安產業的實力。最後,再以此實績進軍東南亞國家、友好的邦交國家,協助當地國家建立完善的基礎環境、數位法規環境等。

文 施鑫澤 CIO IT經理人雜誌總主筆

照片來源 國立臺北科技大學 智慧財產權研究所

TWISA No.3 十月號 (2021)

專訪精誠資訊股份有限公司

數位軟體應用事業部 詹伊正副總經理

精誠資訊公佈資安核心藍圖
五大自有開發資安解決方案抵禦資安威脅

面對國家級的駭客攻擊事件頻傳,世界各國政府莫不繃緊神經,將資安威脅視為國安事件,台灣政府在積極強化各級政府的資安防護機制之餘,也將資安列為5+2創新產業之中,期盼能掌握核心關鍵技術,並厚植台灣資安產業的能量。1997年即開始跨足資安領域的精誠資訊,過去幾年除依照資安趨勢與市場變化,持續擴大資安產品的代理範圍外,也運用累積多時的資安能量,透過與產官學合作方式,打造精誠資訊的五大核心安全解決方案,全力協助企業與各級政府抵禦未知威脅。

目前精誠資訊的五大自有開發資安核心方案,分別為RedAlert資安攻防演練、Cyber Center資安監控服務、MOC(Monitoring and Operation Center)資安維運監控中心、SESC(SYSTEX Email Security Cloud)次世代電郵安全雲、HEIS(Human Error Insight System)資安意識人因分析系統。其中, MOC維運監控中心服務超越傳統SOC,具備抵擋未知威脅的能力,所以已經被全台灣超過20個縣市政府採用,藉此提升整體資安防護力。

精誠資訊數位軟體應用事業部副總經理詹伊正指出,傳統SOC服務多半只能偵測已知威脅,難以抵禦未知威脅。我們融合多年資安經驗與技術能力的MOC維運服務中心,可整合端點各個監控系統的異常回報,並比對各監控系統資料庫判別資安事件等級與處置方式,即時提供客戶異常事件告警與建議解決方案。MOC維運服務中心通過政府及ISO 27001認證,可全天候確保客戶資料機密性、完整性及可靠性三大需求,助企業奠定永續發展之基石。

根據統計分析結果,超過50% 資安事件源自於員工的疏忽丶欠缺資安意識,因此,若能改善員工資安意識與作業行為,即可減少資安事件發生,保護企業重要資產。而精誠資訊推出的HEIS資安意識人因分析系統,可協助企業建構全方位的社交工程演練與資安教育訓練,有效平衡IT單位的投入資源,快速且清楚掌握內部受測員工的人因意識風險,降低單位人員因資安意識不足遭駭的風險機會。

詹伊正表示,HEIS資安意識人因分析系統是以駭客思維為設計基礎的釣魚郵件與假網站範本,可提供高彈性化社交工程演練的任務設定,以及完善的資安意識培訓課程、資安宣導測驗等,協助企業加速提升員工的資安意識,讓企業於日常工作中融入資安文化,為企業建立最後一道資安防線。以某知名企業使用後為例,員工對於未知的郵件點擊率從56%降低到37%。

2020年8月台灣資安協會正式成立,全力整合台灣資安產業能量,期盼鏈結產官學資源,共創台灣資安產業生態及資安品牌。詹伊正認為台灣資安產業技術能量非常強大,可惜欠缺國際行銷經驗與管道,透過台灣資安協會的整合,自然有助於讓台灣品牌在國際舞台上發光,精誠資訊也樂觀看待全力支持,更希望日後有更進一步的合作。

文 施鑫澤 CIO IT經理人雜誌總主筆

照片來源 精誠資訊股份有限公司

TWISA No.2 九月號 (2021)

專訪 國發會產業發展處 詹方冠處長

扶植台灣資安產業發展 三大管道著手

因應駭客攻擊手法日益多元,且從企業延伸到國家的基礎設施,讓資安變成國安問題。在迎合「打造安全可信賴的數位國家」願景下,台灣資安產業扮演非常重要的關鍵,2016年行政院除將資安產業列入5+2創新產業之中外,也同步推動資安產業發展行動計畫 (2018-2025 年) 去年更將其列為6大核心戰略產業之一,期透過多元管道方式,全力提升台灣資安產業的國際能見度。

考量到臺灣資安廠商多數屬中小型企業,較難面對國際大廠競爭,所以在市場、技術與人才上,仍需要政府協助建構良好的資通安全發展環境。因此,在資安產業發展行動計畫中明定,超過10億元以上計畫,其中要有5%預算用於資安,1億元~10億元經費的計畫部分,則得需要有6%預算用於資安。至於低於1億元以下計畫,則需有7%預算花在資安。

國發會產業發展處處長詹方冠表示,為提高企業資安需求以帶動產業發展,政府採購是很重要的一環,我們正研討如何加強採購國產資安產品,讓多數公務機關基本上都盡量以國產設備為主,除非該領域找不到合格廠商,才會採購進口品牌。希望藉此,達成兼顧政府機關的防護能量與扶植資安產業發展的雙重目標。當然,也鼓勵民間企業如上市櫃公司,未來投注在資安經費的比例,也有拉高的可能性。

其次,在協助臺灣資訊安全產業發展,政府將提供相關企業營運發展所需資金。國發基金特別訂定資安產業投資專案計畫,從2021年起匡列新臺幣 30 億元,讓符合資格的企業可申請。投資範圍涵蓋終端與行動裝置防護、網路安全、網聯網安全、資料與雲端應用安全、資安支援服務、資安營運管理服務、資安檢測鑑識顧問服務、資安系統整合等領域。

詹方冠指出,只要符合資格的業者,在計畫啟動後3年內均可提出申請。而且考量到企業實務面的需求,國發基金放寬了原本不擔任該輪募資最大投資人的規定,期盼能更有投資彈性,讓台灣資安公司可獲得更充沛的營運資金。

台灣市場規模不大,臺灣資安產業必須運用自身優勢走向國際市場,才能建立長久的營運基礎。所以在6大核心戰略的資安產業方案中,也會參考國際資安大廠作法,投入相當研發經費及國際市場行銷費用,以建立國際化行銷輔導機制,協助廠商爭取國際輸出機會。

詹方冠表示,近兩年受到COVID-19疫情影響,目前國際拓銷計畫推動的難度較高。未來除了協助業者參與線上展覽之外,政府也會扮演中介平台的角色。因為資策會、工研院、電腦公會等,過去也都會協助資安業者參與各種國際展覽的活動,可惜彼此之間資源並沒有互補,所以創造效益也較小。未來我們會規劃與相關單位討論,看是否能將資源整併,以台灣館方式在國際展會中展出,讓台灣資安實力被全球看見。



文/圖 施鑫澤CIO IT經理人雜誌總主筆

TWISA 2021 創刊號

專訪 行政院資安處 簡宏偉處長

面對全球資安產業的演化,行政院資通安全處處長簡宏偉處長直指未來已是萬物聯網的生態圈,每個節點都有可能是資安潛在破口,因此資安已不再是過去單純防護的功能性框架,將進一步延伸擴大成風險管理服務,未來各產品、系統到產業都需要內建風險管理,並透過資安協助降低風險,推動資安走向各產業,所以資安服務類型與人才培育也都會有所改變。

跨域資安人才培育方式,以醫療領域舉個例子來說明,培育1個醫療從業人員生去學習資安風險管理比較容易?還是培育1個資安人員去學習醫療領域知識來得容易?兩者的效益哪個比較高?從邏輯上來看,是讓醫療從業人員來學習資安風險管理。這不是貶低資安人員的訓練,只是面臨資安產業化的趨勢,傳統思維勢必要被打破,才會激盪出新生機。

隨資安產業框架已面臨新變局,資安產業扶植也要有新做法。有鑑於過去政府太主導產業技術研發,可能會對產業競爭造成反效果,加上資安已經是產業基礎,投放在智慧醫療、自駕車、智慧城市等不同產業領域,都會有不同的需求與解決方案,因此如何建立開放場域讓業者去練功組隊,才是比較務實的方向。

因此政府第一步就是要扮演好環境布建的角色,先針對整個環境去擬定相關法規,並依據現實情境去釐清權責,做好管理角色,例如近年各國政府減少使用有資安疑慮的產品,台灣現在也有明確的準則讓各級單位可以依循,民間業者也能清楚規範。

雖然這件任務龐雜且不容易執行,但近年從公務機關硬體採購、智慧城市計畫到雲端服務、境外影音服務公司落地等作業,都會把資安的元素納進去,其中以金管會執行成效最好,在剛性需求帶動下讓場域的活水更具養分,進而吸引更多本土業者投入。

另場域也是一個很務實的試煉場,經由市場競爭,讓許多業者體驗到單打獨鬥已是過去式,為了滿足使用者需求,近年不少新創資安公司或系統整合商,改以多樣化產品線來服務客戶,也讓台灣孵化出像是奧義智慧、博歐等受到國際創投關注的新創資安服務公司。

簡宏偉處長建議這些獲得外資關注的新創公司,可以參考以色列新創公司多有5年內把公司銷售給外商的作法,適時評估轉換,除讓原有公司快速國際化外,經營研發者也能奠基原有的經驗能量,取得更多資源投入其他新創事業,讓新創能量持續滾動放大,孵化更多新創公司。

針對外界提及似有多個單位分頭建置場域,造成經費分散、專案無法達到一定的經濟規模等,不利於資安產業健全發展之議題,簡宏偉處長表示這些都是轉型期很難迴避的陣痛,但隨著第六期國家資通安全發展方案的推動,在試煉場域的建置上有較策略性的整合及投入,相信可以朝正面的方向發展。

未來政府除積極培育資安實戰人才外,並先從政府機關做起,要求所有A級機管都必須達到資安治理成熟度第三級以上,另已就IoT設備制定了12項資安檢測技術指引或產業標準,打造IoT設備資安檢測生態鏈,從政府、企業到民眾都做好資安防護,打造可信賴的數位環境生活。

新聞刊登詳見:https://money.udn.com/money/story/10860/5708627

文/圖 吳毅倫記者

有任何問題嗎?

如需有關活動專案的詳細資訊,請來信至 [twisa2020@twisa.org]

社團法人台灣資訊安全協會立案字號:台內團字第1090047220號連絡電話:0963-686-709通訊地址:11170台北市士林區前港街11號4樓協會會址:11085台北市信義區松德路159號25樓