資安周報第45期：新加坡用總理高度揭露國家資安戰略，臺

william77

新加坡政府從2005年才開始推動相關的資安政策，陸續設立許多重要的資安組織，尤其是2015年成立隸屬李顯龍總理辦公室的網路安全局，更扮演關鍵角色。而臺灣對於資安政策的重視起步早於新加坡，但政策高度仍侷限在政府應該有的資安作為，缺乏區域性甚至是全球性的宏觀視野，政策高度相對不足。

新加坡總理李顯龍在國際網路節致詞中，正式對外公布國家級網路安全戰略，並揭露該戰略重要的4大支柱。

新加坡總理李顯龍在十月中旬的時候，以國家最高領導人--總理的身份，在三千多名國內外會眾參加的國際網路節中致詞，並同時揭櫫攸關未來新加坡最高資安指導原則「新加坡國家級網路安全戰略」。以總理的高度正式對外宣示，網路安全是未來新加坡最關注的國家推動的政策方針之一，而且，要關心這個議題的，不是只有政府機關內的公務人員，連一般的企業主，如同你我一般的平凡百姓，也都不可以置外於網路安全的邊界之外。
不只是新加坡，靠著靈活社交網路和新興科技應用而順利贏得選戰的美國總統歐巴馬，對於網路安全也不敢掉以輕心，在公布相關的網路安全政策，甚至是聯邦資訊長、數位長甚至資安長等相關職位時，為了彰顯其重要性，也都是由歐巴馬正式對外宣布相關內容。
至於臺灣政府，從總統蔡英文在競選時的政見，就已經相當重視資安政策，甚至喊出資安等於國安的政策宣示性口號，從520正式就任後，相關的內閣在廢止前朝的資安科技中心後，也在8月1日正式成立行政院層級的二級單位：資通安全處，已取代過往任務編組的資通安全辦公室，讓資安這樣重要的任務，在政府體系中，有一個正式的、專任的組織。
只不過，蔡英文除了競選時，在宣布相關的政見時，有正式出面宣示資安是重要的政見，但在上任後，多數都是在致詞場合時，偶爾會提到資安是國家很重視的議題外，但往往缺乏更實質的內涵，使得致詞只是致詞，看不到蔡英文在總統的高度上，有提出任何國家級高度的網路安全戰略方向。
相較於李顯龍親自出面，公布新加坡國家級網路安全戰略的政策白皮書所彰顯出來的高度，以及過往歐巴馬在任內甚至開創聯邦級的資訊長、數位長和資安長所顯示的重要性，即便知道蔡英文的確有意識到「資安等於國安」，也納為國防政策之一，但我們所期待的，蔡英文能夠以總統高度，宣示國家未來的網路安全戰略走向的場景，可惜到現在還沒有看到。
新加坡從2005年啟動資安之旅
李顯龍在新加坡網路安全周的演講致詞時，對外宣示，國家級網路安全戰略有4個重要的支柱，分別是：建置彈性關鍵資訊基礎設施，創造安全網路空間，發展具有活力網路安全生態系統，以及強化網路安全相關的國際合作關係。他也特別提及，新加坡視重要的金融交易中心，而先進的資通訊科技（ICT）都有助於提升整體的交易速度和效率。也因為有這些資通訊科技的協力幫助，新加坡也逐漸往一個數位化的智慧國家（Smart Nation）邁進。
但在此同時，李顯龍也特別強調，新加坡發展智慧國家的過程就像一個漫長的拉力賽，不僅需要政府部門的全力投入，也同時需要所以的新加坡國民、企業的共同支持，才有機會達成這樣的目標。若進一步研究，新加坡其實是從2005年才正式開始，將網路安全納入重要的國家政策發展方針之一。
新加坡何以能在10年左右的時間，一舉將網路安全提升到國家層級，包含一般民眾都必須共同關注的事項呢？
新加坡的資安發展可以分成五個階段來看，首先是2005年～2007年，新加坡制定了一份為期2年的「資通訊安全發展綱領」（Infocomm Security Masterplan），最重要的是設立一個新加坡資通訊發展局（IDA），主要是解決跨部門之間面對的網路威脅。第二階段就是2008年～2012年，重點在於關鍵資訊基礎設施（CII）的防護，期間，更在2009年於內政部下，正式成立了一個新加坡資通安全局（SITSA）對抗各種網路攻擊與網路間諜等資安事件。
成立網路安全局是關鍵，由總理對外發表網路安全戰略
第三階段就是新加坡政府在2013年，制定了為期5年的國家層級的國家網路安全綱領（National Cyber Security Masterplan 2018），納入更廣泛的資通訊領域，包含相關的企業與個人，關鍵基礎資訊設施的防護仍然是重點外，共著重在打造一個可信任且堅實的資通訊中心。
在2013年10月，也同時推動國家網路安全研發計畫，除了增強新加坡網路安全研發時力外，也必須打造可被信任的網路基礎設施，更具有彈性、可靠度以及可用性等。而這個計畫迄今仍在運作中，只不過由國家研發基金以及2015年成立的網路安全局（CSA）共同管理。
另外在2014年成立國家網路安全中心（NCSC），隸屬新加坡資通安全局，也肩負提升資安意識、跨部門協同處理資安事件，以及面對大規模網路攻擊時，提供國家層級的資安應對策略。
就新加坡的網路安全的發展策略中，最關鍵的就是第四階段，在2015年成立網路安全局，為了展現資安等於國安的高度，網路安全局隸屬李顯龍的總理辦公室，相關的行政作業則由交通部負責，並且統一將所有的資安事件處理窗口，全數集中到新加坡電腦緊急應變小組（SingCERT）負責。
這個網路安全局除了關注關鍵資訊基礎設施的保護，處理大規模的網路攻擊事件外，更間負起發展網路安全相關的法規、政策以及最佳實作，並且成為跨部門、產業、學校、企業、個人甚至是國際間網路安全的協同合作事宜。
在2015年同年，新加坡政府也另外在內政部下的新加坡警察大隊中的犯罪偵查部門，新增設一個網路犯罪指揮部（ Cybercrime Command），並和設立在新加坡的國際刑警組織全球綜合性創新總部（IGCI），就各種網路犯罪調查密切合作。
在2016年7月，新加坡則推出國家網路犯罪行動方案（National Cybercrime Action Plan），將對抗各種網路犯罪的順序列為第一優先，這包括如何教育大眾確保網路空間的安全性，並發展對抗往爛自衛的能力，強化網路犯罪相關的歸歸，以及打造一個對抗網路犯罪，包括本土與國際都能夠有良好夥伴關係，彼此協助。
關鍵的第五階段則是2016年10月，李顯龍則正式對外發表，由新加坡網路安全局擬定的國家級網路安全戰略（Singapore's Cybersecurity Strategy），像國際宣示新加坡在捍衛網路安全的決心與作為，更提供1.9億新加坡幣（約新臺幣40億元）作為推動網路安全戰略的預算。
臺灣資安政策起步早，政策高度不及新加坡
反觀臺灣在國家資安政策綱領的制定上，其實是超前新加坡，早在2001年～2004年就通過「建立我國資通訊基礎建設安全機制計畫」，除了推動資訊安全管理系統（ISMS），並制定資安責任等級分級以及落實資安演練，也在2001年1月成立行政院國家資通安全會報，並於同年3月規畫成立國家資通安全技術服務中心（簡稱技服中心），藉此建構資安防護體系。這是臺灣落實資安的起點，遠遠早於新加坡政府的資安規畫。
從2005年～2008年，臺灣政府則制定「建立我國資通訊資訊基礎設施安全機制計畫」，目的在健全資安防護能力，除了推動資訊安全長的責任制度外，也打造國家資通安全防護管理平臺，制定資安關鍵指標和落實資安內稽，更重要的是，實體隔離的政策也在此階段推動。
自2009年～2012年則通過「第三期發展方案：國家資通訊安全發展方案」，目的是要打造安心信賴的智慧臺灣，也要讓民眾可以過安心優質的數位生活，這期間，主要是落實間見資訊基礎設施的防護（CIIP），強化緊急應變與復原能力，政府也特別要求電子商務業者的資訊安全，也制定資訊系統分級分類，希望可以真正落實資安治理。
從2013年～2016年則是「第四期發展方案：國家資通運安全發展方案」，目的是希望可以建構安全資安環境、邁向優質網路社會，期間，除了推動功能性資安組織（也就是今年遭到立法院廢止資安科技中心），也希望可以完備相關的資安管理法規（行政院如火如荼推動的資通安全法），可以促進產官學研的合作交流，更希望建構資安專案管理（PMO）機制，落實資安防護二級制並推動政府資訊安全組態基準設定。
從臺灣過往四個階段的資安發展方案來看，臺灣雖然起步早，但歷年的政策都偏向政府體系中的各種防護作為，缺乏與民間企業甚至是國際合作的方向，直到今年8月1日才有專門的資安組織，但仍設下在行政院，偏重的仍是政府應該有的資安作為；若要真正落實資安等於國安的政策方針，從既有的各種政策高度來看，仍然不到國家安全的政策高度。
再以資安專門組織來看，資安處只是行政院下的單位，但新加坡的網路安全局卻是隸屬總理辦公室，而其提綱挈領制定的資安政策方針，看的不只是新加坡單一國家的資安作為，而是身為一個重要的金融交易中心、商業中心，一旦遭到各種網路攻擊與威脅，受到影響的不僅是單純的國家安全或區域性的網路安全，甚至可能因為金融交易是全球性的交易，一旦有任何意外發生，都可能造成全球金融交易市場的動盪不安。
因此，新加坡的網路安全戰略不侷限在單一國家應該有的資安防護策略，更是從新加坡是區域性及全球性的金融交易中心、商業交流重鎮受到網路攻擊時，可以會影響到的各種層面，以及該如何因應，這帶動的不僅是國家法規遵循的要求，更多是資安產業的蓬勃發展、資安人才需求孔急，以及資安研究的深入與專注。
行政院資安處也正在著手進行第五期國家資通訊安全發展方案草案，預計從國家安全、資安管理、產業發展、科技研發和人才培育等5個面向進行研議，據了解，相關的政策計畫也正在評估中，預算初步估計也有10億元，但最終政策高度到哪裡，相關的資安專案是否仍淪為資安廠商的設備採購和系統建置費用，以及能否提供區域性的、全球性的，更為宏觀的資安政策願景等等，都會在第五期的方案推出後就見真章。




行政院資安處正在著手草擬第五期國家資通訊安全發展方案，據了解預算約有10億元，但整體政策高度仍偏政府作為，缺乏區域性、全球性的政策願景。