因應數位發展,國家資安治理能力亦須升級
范秉航
2017/11/21
|
繼2016年7月第一銀行遭東歐駭客集團從倫敦遠端遙控侵入41台ATM,盜領8,327萬多元之後,今年10月3日遠東銀行國際匯款系統SWIFT交易系統異常,駭客盜轉約18億元新台幣至柬埔寨、斯里蘭卡與美國三地。除了金融業,Yahoo在2013年遭駭客入侵後,至今年10月才公布真正受影響帳號高達30億個。而早在5月份受到各界矚目的WannaCry勒索病毒,也在今年下半年爆發疫情,估計全球經濟損失達80億美元。根據今年趨勢科技所發布的2016年資訊安全總評報告指出,資安威脅逐年攀升,其中勒索病毒數量從2015年的29個暴增至2016年的247個,成長7.52倍。
對此,行政院去年8月成立資通安全處,掌理國家資通安全政策研議、法案審查、計畫核議、業務推動、督導及管考等業務;國家資通安全技術服務中心則由該處委辦及督導相關業務,包括提供政府機關事前安全防護、事中預警應變、事後復原等資安技術服務;經濟部標準檢驗局專責訂定資通訊安全標準。而在法規層面來說,我國目前已有與資通安全相關之相關法條或規範,但因立法目的不同,對於資訊類型、保護對象、適用範圍、規範對象等都有所差異。目前尚無以國家整體資通訊安全為主要考量,以風險管理為核心,建立完整的資通安全維護計畫及通報應變相關機制。也因此,資通安全處在今年4月擬具「資通安全管理法」草案,並送請立法院審議。
我國「資通安全管理法」草案總共有行政院、立委陳亭妃、時代力量、立委余宛如、立委許毓仁、親民黨等六個版本,目前主要討論的焦點集中在行政院版之上,其中最大的問題來自於國家資通訊安全機制的整體架構並不明確。資安作業是一套龐大的分工合作體系,因此精準治理架構是決定資安作業能否有效的關鍵。
以上六個版本的主要範本援引自美國《聯邦資訊安全現代化法》(Federal Information Security Modernization Act,FISMA),該法於2002年完成立法,經歷2012與2014年兩次修正,針對實務中所發現的問題予以更新。FISMA所設計的資安組織架構包含數個部分:(1) 資安防護標準之制定:NIST (National Institute of Standards and Technology,國家標準技術研究院);(2) 政策制定及業務監督:國土安全部與國家情報總監;(3) 政策執行單位:各級行政單位依規模大小分社資安長或資安工作人員;(4) 技術支援單位:聯邦資安事件中心:(5) 稽核單位:檢察總署或其指派之獨立外部稽核人員;(6) 上級監督或業務協調:國會、國家情報總監、國土安全部部長、國土安全委員會、政府改革委員會等。
回到行政院版草案上,架構與權責分工並不明確。「政府」負責資安人才培育、科研整合與應用、資安產業發展、機制推動等;「行政院」負責標準的制定、技術支援、稽核;「中央目的事業主管機關或直轄市、縣(市)政府」負責指定關鍵基礎設施報請行政院核定,稽核與管考資安維護計畫,派員進入非公務機關場所檢查。而其中最具爭議與問題之處有三,首先是專業分工,草案中並未明定權責單位,最終若都須回到行政院資安處協調與執行,確有其是否具備足夠行政能量的疑慮;其次是對「非」公務機關的行政檢查,需要明訂審查機制與執行標準,否則恐將侵犯私權;最後行政院版第五條指出得委任或委託其他公務機關、法人或團體,辦理資通安全整體防護、國際交流合作及其他資通安全相關事務。此舉旨在替資安技服中心量身打造的法源依據。然而,對委託業務具有代行公權力與保密義務的單位,是否適合以招標委託的方式辦理,實應有所斟酌。
針對資安法的推動,應朝兩個方向著力。首先是公私分離,資安法重點應先放在政府機構如何落實國家資通訊安全防護,並透過立法方式調整目前尚未明確的公部門權責分工結構與資源,並非將國家資安壓力透過行政檢查或罰則轉嫁予民間業者。其次是治理架構的專責分工,主管機關可區分為「資安治理」、「資安管理」及「資安標準」三類。「資安治理」(行政院資安處)為「政策制訂及業務監督者」,建立治理架構,並透過評估、指導與監督等作為,督導資訊安全管理機關之執行;「資安管理」為「政策執行單位」(各級行政單位),遵循治理架構所形成之指導原則,規劃並建立組織適用之管理機制;「資安標準」(經濟部標準檢驗局)訂定資安防護標準,並提供與資安認證與服務體系。資安技服中心則是扮演技術支援角色,以補足目前各主管機關之技術缺口。
在數位科技發展與網路普及下,政府相關部會均積極推動數位化建設,如數位人才、數位基礎建設、智慧城市、金融創新、物聯網等。然而,資安即國安,在數位建設之餘,資通訊安全的提升成為刻不容緩的課題。其中資安治理是政府單位必須養成的能力,也唯有更具效率的國家資安機制,才能創造出更寬廣的數位創新經濟發展空間。
|