資安周報第28期：近日會公布資安處長人選，推動資安管理

jis2577

行政院將成立正式的組織資安處來取代任務編組的資安辦，讓政府資安有正式的專責單位，即使面對重大的資安事件時，終於有資安專責主管機關。

行政院資安處相關的人事正在確認中，之後的當務之急，則是如何儘速將延宕已久的資安管理法，儘速提交立法院審查，讓政府與民間機構未來對於落實資安，都有法源依據。

韓國資安人才教父柳晙相（Yoo Joon-Sang）表示，召募頂級資安人才的BoB計畫，除了要召募資安技術高手，也必須兼具道德和愛國的特質，才能在國家危難時，出手相助。

韓國資安人才教父柳晙相（Yoo Joon-Sang），不僅是韓國特別公法人韓國資訊科技研究中心（KITRI）第九任總裁，同時也是韓國頂尖資安人才培育計畫BoB（Best of the Best）的幕後關鍵推手，日前來臺時，則和臺灣科技大學簽訂資安人才交流合作備忘錄。柳晙相在接受iThome獨家專訪時表示，「BoB專案召募的人才，不僅要具備高超的技術、也必須要有職業道德，更需要是對國家忠誠的人，在國家發生危難時，才願意挺身而出。」柳晙相這樣的說法是非常有道理的，許多韓國的資安研究員及白帽駭客，甚至是資安業者等，不僅團結也很愛國。
由韓國政府主導，和民間共同面對重大資安事件，臺灣呢？
像是在2013年3月20日爆發黑暗首爾（Dark Seoul）資安攻擊事件時，韓國國家網路安全局（KISA）下轄，負責韓國網路安全的韓國電腦網路暨危機處理協調中心（KrCERT/CC），也在第一時間主動號召所有資安公司和資安專家，一起商討解決之道。
「在國家面臨資安威脅時，不分政府和民間，砲口全部一致對外，設法找出解決問題的方法。」這就是韓國資安圈現況，也是為什麼韓國在320事件時，能在最短的時間內，陸續恢復銀行、媒體等相關公司的主要系統，一個月內全數恢復正常運作。
反觀近十多年來，臺灣資安領域的發展，一直是民間凌駕政府之上，即便民間缺乏豐沛資源，但是透過許多資安社群和人才的交流及努力，也慢慢有一些成果出現。許多白帽駭客和資安專家，即便平常對國內資安體係嚴厲批評，最終目的，都是希望臺灣的資安防護可以越來越健全，甚至近年來，民間資安交流範圍更屢屢擴展到其他國家。
至於臺灣的公務部門，近兩、三年，因政府部門最上層的主事者開始重視資安，慢慢的看到政府願意將資源多投入一點在資安領域，雖然，整體成效還需要更長時間的累積，很難快速見效，但是，從社交工程演練的社交郵件開啟率逐年降低，中低層級公務人員也開始頗具資安意識看出公部門努力的成果，不過還有很大的進步空間。
臺灣倒是在政府和民間的資安合作上，一直都沒有找出較好的合作模式，行政院前院長張善政在副院長任內首度釋出善意，「相信成功不一定要在政府自己，」開始不再每件事情或政策推動，都由政府透過活動或研討會來彰顯其重視程度，政府終於可以單純的成為一個活動的宣傳者、支持者、贊助者、錦上添花者、雪中送炭者，卻不一定要是活動主辦者。
臺灣資安社群曾經在幾次重大的資安事件中評估過，如果臺灣面臨相同災害，例如黑暗首爾的攻擊事件變成黑暗臺灣攻擊事件時，臺灣有辦法承受嗎？又得花多久時間才能復原呢？印像中，當時的評估都很悲觀，一旦政府的系統癱瘓，一個月內很難復原不說，許多銀行因為BCM（營運持續管理）不夠落實，光是在隔天要恢復ATM提款就讓人存疑，要遑論一周內要銀行系統全數恢復正常，這群資安專家的評估同樣沒信心。
評估過程中更凸顯一個問題，當臺灣重大資安事件時，專家們都難以確定，到底政府哪個單位才是這起資安事件的主要負責人？又有哪個單位可以真正做到，跨政府部門及民間單位的溝通協調呢？
不過，這樣的隱憂，在新政府上任後，決定成立新的正式組織──行政院資安處，成為政府部門的資安專門機構，用來取代原本只是任務編組的行政院資通安全辦公室，而有了更好的解答。
新任資安處長要有2020年資安政策願景，也要能和國安辦協同合作
根據最新的消息來源，行政院也正積極詢問資安處處長的適當人選，他的工作內容，除了持續督導委外給資策會的技術服務中心之外，也將聽命於科技政委，負責跨部會協調的資安事宜，還必須要能夠和總統府國安會下的國家安全辦公室，彼此有合作和支援的空間。近日內，人選應該會隨著新組織成立時一併對外公佈。
資安的推廣和重視，原本就是苦差事，尤其對政府機關的人員，要把資安這件事情做好，除了必須要懂資安、懂政府組織運作外，也要有強烈的使命感和熱情，更重要的是，擔任第一個政府專責資安機構的主事者，我們也想知道他或她對於未來政策願景的規畫和想法是什麼，在接任者的藍圖中，有沒有2020年的資安政策願景？若要達成這樣的資安願景，現在的臺灣，還要把哪些環節漏洞，慢慢的接起來呢？
再者，資安防禦永遠無法靠單打獨鬥就可以成功，因此，未來資安處的接任者，除了聽命行事之外，也必須具備和各政府部門、民間企業及社群能協同合作的能力，而且，未來，與國防、外交有關的網路攻擊和資安事件將由國家安全辦公室接手，資安處長和國安辦未來的執行長，必須有暢通的溝通管道，才不會因資訊不透通，造成兩辦之間互動卡卡的，真的遇到緊急事件時，反而無法發揮兩辦協同作業的綜效，反而就可惜了。
除了資安處長應該很快就會對外公布外，國安辦的執行長人選，如何選擇，也是一們大學問。
行政體系的資安處，負責政府和民間的資安事件，選才可從公部門中尋找年輕一輩、對資安有熱情的人。但是國安體系，因涉及國防、外交，甚至數位國土安全等更為機敏的事務，也會接觸到更敏感的跨國網路威脅合作事宜，加上總統蔡英文提及的第四軍種的相關規畫，都可能由國安辦承接或參與規畫時，要找到夠資格接任這樣具有挑戰性職位的人選，除了必須獲得層峰信任外，必須要有技術能量，兼顧政策願景，同時能和資安處彼此協同作業外，難找人的另外一個關鍵因素在於，要避免軍系人馬的反彈，挑選難度真的比資安處長更高。
不過，當行政院資安處長確定後，國安會國安辦執行長應該也會在最短時間內公布。屆時，不論是從政府、民間層級看資安，或者是從外交、國防領域看資安，都期待會有更前瞻的規畫與新氣象。
推動資安管理法是當務之急
資安處長人選敲定之後，必須開始面對一件非常重要的一事，那就是要先健全臺灣既有的資安法規，已經延宕許久的資安管理法，也應該在最短時間內，送交立法院審查。
制定資安管理法是國際趨勢，不管是美國、日本、德國等都已制定了網路安全相關的專門法規，例如，美國在2014年制定網路安全強化法、國家網路安全保護法、網路安全勞動力評估法、聯邦資訊安全現代法，日本也在2014年制定網路安全基本法，德國則在2015年制定資訊科技安全法，各國作法殊途同歸，目的在於，透過法令訂定，讓公務機關、非公務機關以及關鍵基礎設施業者，在共同建構國家完整的資安體系時，有一個共通的參考依據，也藉此，維護臺灣網路空間的主權和國家安全。
目前，臺灣公務機關在資安上用各類行政命令來管理，而非公務機關也有電腦犯罪防治專章作為規範，但這些層級較低的法規，不足以和快速演進的網際網路技術接軌；更希望透過資安管理法專法的制定，來賦予不同資安所牽涉到的主體，有相對應的責任和義務。
例如，公務機關以及非公務機關該負的資安責任和義務可以明訂，或是，過去從未受規範的關鍵基礎設施業者，因動輒影響大量民眾的權益，也應透過這次法律制定納入規範，可以在法律層次，從風險的角度出發，明定大家應該承擔的權利和義務時，都有助於未來整體數位國土的安全保障；資安防護如何落實於法有據。甚至可以像韓國法律規定，企業應定期做滲透測試，而政府也要提供相對應的資安服務，同時也促進資安產業的發展，這樣的三贏狀態，則是未來希望推動資安管理法時，可以達到的立法效益。