【资安周报第28期】近日会公布资安处长人选，推动资安管理法是当务之急

韩国资安人才教父柳晙相（Yoo Joon-Sang），不仅是韩国特别公法人韩国资讯科技研究中心（KITRI）第九任总裁，同时也是韩国顶尖资安人才培育计划BoB（Best of the Best）的幕后关键推手，日前来台时，则和台湾科技大学签订资安人才交流合作备忘录。柳晙相在接受iThome独家专访时表示，“BoB专案召募的人才，不仅要具备高超的技术、也必须要有职业道德，更需要是对国家忠诚的人，在国家发生危难时，才愿意挺身而出。”柳晙相这样的说法是非常有道理的，许多韩国的资安研究员及白帽骇客，甚至是资安业者等，不仅团结也很爱国。

由韩国政府主导，和民间共同面对重大资安事件，台湾呢？

像是在2013年3月20日爆发黑暗首尔（Dark Seoul）资安攻击事件时，韩国国家网络安全局（KISA）下辖，负责韩国网络安全的韩国电脑网络暨危机处理协调中心（KrCERT/CC），也在第一时间主动号召所有资安公司和资安专家，一起商讨解决之道。

“在国家面临资安威胁时，不分政府和民间，炮口全部一致对外，设法找出解决问题的方法。”这就是韩国资安圈现况，也是为什么韩国在320事件时，能在最短的时间内，陆续恢复银行、媒体等相关公司的主要系统，一个月内全数恢复正常运作。

反观近十多年来，台湾资安领域的发展，一直是民间凌驾政府之上，即便民间缺乏丰沛资源，但是透过许多资安社群和人才的交流及努力，也慢慢有一些成果出现。许多白帽骇客和资安专家，即便平常对国内资安体系严厉批评，最终目的，都是希望台湾的资安防护可以越来越健全，甚至近年来，民间资安交流范围更屡屡扩展到其他国家。

至于台湾的公务部门，近两、三年，因政府部门最上层的主事者开始重视资安，慢慢的看到政府愿意将资源多投入一点在资安领域，虽然，整体成效还需要更长时间的累积，很难快速见效，但是，从社交工程演练的社交邮件开启率逐年降低，中低层级公务人员也开始颇具资安意识，看得出公部门努力的成果，不过还有很大的进步空间。

台湾倒是在政府和民间的资安合作上，一直都没有找出较好的合作模式，行政院前院长张善政在副院长任内首度释出善意，“相信成功不一定要在政府自己，”开始不再每件事情或政策推动，都由政府透过活动或研讨会来彰显其重视程度，政府终于可以单纯的成为一个活动的宣传者、支持者、赞助者、锦上添花者、雪中送炭者，却不一定要是活动主办者。

台湾资安社群曾经在几次重大的资安事件中评估过，如果台湾面临相同灾害，例如黑暗首尔的攻击事件变成黑暗台湾攻击事件时，台湾有办法承受吗？又得花多久时间才能复原呢？印像中，当时的评估都很悲观，一旦政府的系统瘫痪，一个月内很难复原不说，许多银行因为BCM（营运持续管理）不够落实，光是在隔天要恢复ATM提款就让人存疑，更遑论一周内要银行系统全数恢复正常。

评估过程中更凸显一个问题，当台湾重大资安事件时，专家们都难以确定，到底政府哪个单位才是这起资安事件的主要负责人？又有哪个单位可以真正做到，跨政府部门及民间单位的沟通协调呢？

不过，这样的隐忧，在新政府上任后，决定成立新的正式组织──行政院资安处，成为政府部门的资安专门机构，用来取代原本只是任务编组的行政院资通安全办公室，而有了更好的解答。

新任资安处长要有2020年资安政策愿景，也要能和国安办协同合作

根据最新的消息来源，行政院也正积极询问资安处处长的适当人选，他的工作内容，除了持续督导委外给资策会的技术服务中心之外，也将听命于科技政委，负责跨部会协调的资安事宜，还必须要能够和总统府国安会下的国家安全办公室，彼此有合作和支援的空间。近日内，人选应该会随着新组织成立时一并对外公布。

资安的推广和重视，原本就是苦差事，尤其对政府机关的人员，要把资安这件事情做好，除了必须要懂资安、懂政府组织运作外，也要有强烈的使命感和热情，更重要的是，担任第一个政府专责资安机构的主事者，我们也想知道他或她对于未来政策愿景的规划和想法是什么，在接任者的蓝图中，有没有2020年的资安政策愿景？若要达成这样的资安愿景，现在的台湾，还要把哪些环节漏洞，慢慢的接起来呢？

再者，资安防御永远无法靠单打独斗就可以成功，因此，未来资安处的接任者，除了听命行事之外，也必须具备和各政府部门、民间企业及社群能协同合作的能力，而且，未来，与国防、外交有关的网络攻击和资安事件将由国家安全办公室接手，资安处长和国安办必须有畅通的沟通管道，才不会因资讯不透通，造成两办之间互动不顺畅，真的遇到紧急事件时，反而无法发挥两办协同作业的综效，就可惜了。

资安处的处长人选应该很快就会对外公布外，另一方面，国安办的负责人选要如何选择，也是一门大学问。

行政体系的资安处，负责政府和民间的资安事件，选才可从公部门中寻找年轻一辈、对资安有热情的人。但是国安体系，因涉及国防、外交，甚至数位国土安全等更为机敏的事务，也会接触到更敏感的跨国网络威胁合作事宜，加上总统蔡英文提及的第四军种的相关规划，都可能由国安办承接或参与规划时，要找到够资格接任这样具有挑战性职位的人选，除了必须获得层峰信任外，还必须要有技术能量，兼顾政策愿景，同时能和资安处彼此协同作业，更要避免军系人马的反弹，人选挑选的难度真的比资安处长更高。

不过，当行政院资安处长确定后，国安会国安办首席执行官应该也会在最短时间内公布。届时，不论是从政府、民间层级看资安，或者是从外交、国防领域看资安，都期待会有更前瞻的规划与新气象。

推动资安管理法是当务之急

资安处长人选敲定之后，必须开始面对一件非常重要的事，那就是要先健全台湾既有的资安法规，已经延宕许久的资安管理法，也应该在最短时间内，送交立法院审查。

制定资安管理法是国际趋势，不管是美国、日本、德国等都已制定了网络安全相关的专门法规，例如，美国在2014年制定网络安全强化法、国家网络安全保护法、网络安全劳动力评估法、联邦资讯安全现代法，日本也在2014年制定网络安全基本法，德国则在2015年制定资讯科技安全法，各国作法殊途同归，目的在于，透过法令订定，让公务机关、非公务机关以及关键基础设施业者，在共同建构国家完整的资安体系时，有一个共通的参考依据，也借此维护国家的网络空间主权和国家安全。

目前，台湾对于公务机关的资安以各类行政命令来管理，对于非公务机关则有电脑犯罪防治专章作为规范，但这些层级较低的法规，不足以和快速演进的互联网技术接轨；因此未来希望透过资安管理法专法的制定，对于牵涉资安的不同主体，都有相对应的责任和义务的规范。

例如，公务机关以及非公务机关该负的资安责任和义务可以明订，或是，过去从未受规范的关键基础设施业者，因动辄影响大量民众的权益，也应透过这次法律制定纳入规范，可以在法律层次，从风险的角度出发，明定大家应该承担的权利和义务，都有助于未来整体数位国土的安全保障；资安防护如何落实也于法有据。甚至可以像韩国法律规定，企业应定期做渗透测试，而政府也要提供相对应的资安服务，同时也促进资安产业的发展，这样的三赢状态，则是未来希望推动资安管理法时，可以达到的立法效益。

上周（6/12～6/18）重要资安事件回顾：

※ 藐视法庭继续滥发垃圾讯息，Sanford Wallace将坐牢30个月

※ WWDC：所有iOS App及网页通讯年底将强制加密

※ 信用评分公司FICO将为企业资安风险打分数

※ 骇客在黑市兜售被骇服务器控制权，每台200元有找

※ 苹果悄悄推出新一代档案系统APFS，支援原生加密

※ 俄两大骇客组织入侵美国民主党服务器,窃取川普研究资料

※ Flash零时攻击现踪，Adobe忙修补

※ tvOS新增单一签入功能

※ 骇客Peace兜售外泄资料单月获利2.5万美元

※ Let's Encrypt不小心外泄逾7000笔客户的电邮地址

※ 社交网站被骇，Twitter也遭池鱼之殃

※ 赛门铁克以46.5亿美元收购Blue Coat