HITCON圆桌高峰会专家建议：CI应于岁修作资安检查，吁政府成立资安研训院培训资安人才

50人的脑袋聚集在一起，可以产生什么样的火花呢？HITCON Pacific今年第一次举办资安圆桌高峰会，分成新兴科技资安、云端与物联网安全、资安人才培育、关键基础设施与资安联防以及资安百宝箱等五个议题，分别邀请勤业众信风险咨询服务副总经理舒世明、行政院资安处处长简宏伟、台湾科技大学资管系特聘教授吴宗成、富邦金控资深副总经理李相臣以及台湾骇客协会理事长徐千洋等五位专家，主持每一个议题的讨论。

总结整体讨论结果，负责关键基础设施（简称CI）与资安联防讨论的李相臣建议，关键基础设施可以趁岁修时落实资安检查；负责资安人才培育讨论的吴宗成表示：“工作，才是学习的开始，”资安人才缺乏在职进修管道，他呼吁政府出面成立提供资安人才在职进修的资安研训院，并对资安人才分级，提供一个可以循序渐进强化资安技能的技能树。

CI可排在岁修时间，同步做资安检查

因为李相臣曾在政府部门工作多年，后来也在金融业服务，看过许多CI业者提供服务的方式，他表示，许多CI业者认为，资安防御只要做到实体隔离或者是封闭性网络就够安全。但从李相臣长年经验和与会来宾经验交流的情况下，实体隔离往往做得不确实，不管是过去电厂被植入木马程式，或者是近期发生的ATM或SWIFT系统遭骇，所谓的封闭性网络还是被植入恶意程式。“封闭性网络并不像大家所以为的那么封闭，当然，也没有大家以为的那么安全。”他说。

他汇整关键基础设施和资安联防圆桌高峰会的建议指出，资安检查是不可缺少的重要环节，但许多CI业者都会以“服务不能中断”为由，拒绝各种资安检查。但李相臣表示，所有的系统都有排定“岁修”的时间，以服务不中断作为拒绝借口并不高明，只会让人更忧心这个单位的资安状况而已。

所以他建议，重要的关键基础设施业者，包括油、水、电、交通甚至是工业制造工厂，不论是采实体隔离防护措施或封闭式网络，应强制在岁修同步进行资安检测，既可以不影响平日的正常运作，累积到的经验又可以应用在其他像是台湾的制造业者的应用情境等。

资安人才应该分级，呼吁成立资安研训院

资安人才不足一直是各产业面临的共通问题，尤其政府又高举“资安即国安”的政策方针时，加上某些主管机关，例如金管会又要求应该设立独立的资安部门和专责的资安人员，也慢慢拉抬资安人员在企业内的地位和重要性。

面对各界需才孔急之际，也凸显出，许多企业根本没有足够的资安人才，吴宗成甚至观察到，现在台面上的资安人员数量，根本不足以应付许多企业对于第一线维运或是第二线分析的资安人才需求。

目前对在学学生，吴宗成表示，不论是教育部推动的资安精英人才暑期培训课程（AIS3）或者是其他的资安训练课程，都比以往多了许多可用资源。但他认为，对于已经出社会的资安人员而言，学校教的课程内容往往派不上用场，工作必须的技能经常得靠自己多方自修，甚至有一些更新的技术，都可能得自己花钱去上课、飞到国外听演讲等等。

他认为，相较于学生可获得的资安资源，在职人士其实更缺乏有系统的资安在在职训练的课程，因此，他也呼吁政府，如果政府认为从事金融业的人才应该要持续进修，而有金融研训院的成立，那对于资安人才需要更长期且持续培育的专业技能的话，是否可以考虑成立资安研训院呢？

资安范围大，从维运、分析到研究，甚至是对整个组织、体制与政策制定等，都可以被涵盖在内，吴宗成认为，可以将资安领域的人才做分级分类，分成“人手”、“人才”和“人物”三种类型。

他进一步解释，所谓的“人手”就是具有一定知识水准，可以理解特定事物的人；至于“人才”，则是有能力应用特定事物的人；“人物”就是具有声望，被他人认为是某种领域的专家。资安人才若从最基础的资安维运入门的“人手”开始，慢慢提升能力到可以做更多分析研究与应用的“人才”，最终可以发挥对资安业界更大的影响力，成为资安不同面向的“人物”。

不过，吴宗成忧心，现在光是最基础负责维运的资安人手，根本不足以因应企业对资安人才殷切需求的情况下，如何有系统的培养这些第一线的资安人手，满足多数企业最基本的资安维运需求，其实是现在企业要面临的当务之急，这也是政府可以思考在提升资安产业发展的同时最好的切入点，当有更多人才愿意投入资安领域时，就更可以带动资安产业的整体发展。

徐千洋也观察到，许多第一线资安人员也想精进自己的技能，但相关的课程一堂比一堂昂贵，政府是否可以仿效当年为了培养更多的嵌入式系统人才，针对有心上课的技术人员，推出政府补助一半学费的政策，可以让更多第一线的资安人才，在还没有资安研训院之前，还有持续进行、自我提升的管道。

除了技能培训外，徐千洋表示，参加各种会议与社群活动，除了掌握更多最新的技术发展趋势之外，培养更多社群人脉，更重要的是，这些累积都是协助资安人才，有更多解决问题的能力，“不懂可以自己学、找人帮，但平常就得累积和付出，这些资源都不会从天下掉下来的。”他说。

物联网风险不可轻忽，政府推动物联网资安验证中

简宏伟也提出针对云端与物联网安全议题的结论，他指出，万物联网时代的每一件事情都跟物联网、安全和云端服务有关，政府目前将对物联网的安全做相关的验证标准，从分级分类到验证与管理方式做规划，是政府目前积极在做的事情。另外，他也补充，不同产业与会者也关注到明年5月正式生效的GDPR（欧洲通用资料保护规则），期待政府可以提供企业法规遵循的资讯和协助。

舒世明也表示，除了各种新的技术应用带来新兴的风险和威胁之外，在企业组织内部的新兴风险也和采用敏捷管理有关系，如何落实变更管理是一个降低风险的重要关键。若从现在越来越多物联网装置为例，他说，很多装置根本无法做漏洞修补和更新的情况下，这就是必须要正式的新兴科技的风险，至于所使用的云端服务最好可以透过第三方的标准验证，确保云端服务相关的安全性。

民间企业吁资安投资减免，专家建议政府从政策下手

至于首度参加这种仿效世界咖啡馆讨论方式的圆桌论坛，也获得许多企业参与者的肯定，来自航空业、金融业、电信业与其他服务业的参与者表示，可以近距离和真正的专家讨论与交换意见，有很大的收获。

电信业参与者从负责企业资安管理的面向出发，建议政府应先对产业类别和规模做分级制度，再提出各级对应的资安要求，会更适切台湾产业现况。而航空业参与者也指出，资安往往是企业很大笔的投资，政府若有资安投资减免，有助于企业持续性投入资安。

也是这次HITCON Pacific大会讲师、在美国线上下单证券业者从事资安工作的Howard Tsui（崔豪）也一起参与圆桌高峰会的讨论。他表示，台湾有些企业一直在挣扎是否要投资资安，美国企业之前面临到类似的情况，只不过，当时的美国政府从法令下手，强迫企业必须公开揭露遭到骇客入侵或者是个资外泄等资安事件的情况，慢慢让企业对资安更有意识。

Howard Tsui直言，“政府不狠、企业不从”，非常时刻有时需要非常手段，宁可事先逼迫企业面对资安威胁，而不要等到真到遭骇后才后悔莫及。