-
謝謝部長及各單位的主管、夥伴們,精誠集團是做軟體 SI 公司,但是投資資安其實也滿早的,大概 1997 年跟 Netscape,也代理了 Check Point,其實那時候坦白來說防火牆還真的不太好推廣,那時候其實產業對於資訊安全的意識並沒有這麼高。
-
Check Point 跟生態系,後來裡面有非常多的生態夥伴,我們陸續也引進一些不錯資訊安全的產品帶到臺灣的市場,一直到我們發現其實資安隨著數位化的應用,像 IT、OT、IoT,整個防禦的邊界越來越廣,我們就覺得要怎麼去強化資訊安全的這一件事更為重要,坦白來說也是我們的客戶、夥伴,不管是高科技產業到政府機關的服務,對於法規也越來越要求,所以我們在前年就成立了智慧資安這家公司,去年也把集團相關資訊安全的單位 spin-off 出去一家資安公司,我們希望更聚焦服務產業客戶。
-
其實我們在公部門這一塊服務非常地多,我們對於政府所頒布的這些法令規章或者是國際相關的合法部分,也認為相當重要。 2021 年我們在沙崙科技大樓四樓算是第一批進駐的,智慧資安在那邊有一個中心,我們希望在那邊成立創研中心,也是希望讓南部的資訊安全人才培育有機會使用這個場域,這個場域我們希望是開放的,因此我們也找了台南的大學,像台南大學、崑山大學、南台、成大,希望他們可以透過創研中心來做一些資安研究,精誠集團跟智慧資安也會來協助,希望能夠對人才培育有一點貢獻。
-
其次,當然我們也發現沒那麼容易,我想不只政府單位,民營企業的資訊安全人才非常欠缺,我剛剛講的那幾個學校,其實很多都希望延攬人才,但是大部分在中途的時候就被兩家公司攔截,一家叫台積電、一家叫 ASML,所以人才培育上也希望部長可以多多幫我們想想辦法,看有沒有機會有更多的資安人才可以投入到產業來服務,人才培育是今天我發現還有協會的相關夥伴,都存在的很大問題。
-
現在最缺的是哪一種類型?是資深或者是資淺的?是管理或 Opus 的?
-
管理跟 Opus 最缺乏,因為法規的遵循。
-
數位部成立前在院本部的 PDIS,台積電直接開三倍的錢挖走同仁,所以資安院成立後,人才的薪資訂成跟金融、電信業同一個職位中位數的薪水,但即便都已經這樣訂了,你剛剛講的那兩家公司是沒有在管中位數的,所以留住人才真的不容易。
-
但是還好,他們人數上還是會飽和,某個程度會飽和,其他我覺得目前跟金融、電信業的中位數,開始有一些人才對流,並不是完全沒有人過來,他們很在意的就像剛剛所說的,我去以色列有跟 check point 聊,很多人說掌握的工具在之後的職業生涯看是不是用得到,如果來這邊只是盯著儀表板的工作,無論開多少錢,他都待不久,但他如果可以用到一些比較先進的零信任等等這些系統部門的話,甚至是 AI 自動化的紅隊等等,他以後下一個工作一定薪水就不是現在這個薪水,所以他願意稍微忍受一下相對低薪、來學比較的技術,我們目前是用這樣的方法招募人才。
-
我是覺得 OT 的資安從業人員比較不像我們拿著筆電到處都可以工作,還是要跟著那個場域工作,沙崙那邊我們之前有跟產業署討論,可能是以 OT 的資安當作那邊的重點,以反正無論如何要做調查就要去那邊的為主,從台北跑去太遠了,也許在那邊營造這樣, OT 資安不管是研發或者是調度都從那邊開始的感覺,比較容易 bootstrap,不然台北磁吸效應或者是新竹的磁吸效應還是太重。
-
我們呼應整個國家資訊安全的發展,其實我們第一時間就在沙崙,也希望有一個共鳴的效果來服務大南方,整個中南部上市櫃公司也是很多,對於上市櫃公司管理的指引其實也是要有資源去幫忙他,所以我也希望可以盡一己之力,跟政府來做更多的合作,包含我們也開發一些很符合政府相關法令規定的系統,看如何協助中南部的企業在資訊安全這一塊追上來。
-
產業署有沒有要補充?
-
沒有。
-
我們就看下一個題目。
-
下一個題目是電子簽章法,現在是在公審,應該 8 月就要送了?
-
9 月開議我們就打算送給立法院討論。
-
這個部分對於市場立法的情形,包含各個局處單位來應用有沒有⋯⋯
-
我們現在的日落期還是三年,對不對?
-
對,給他們三年,有訂法。他們用法律排除,不然就要適用。
-
目前是所有的部會都可以任意貼一個函、mail,就說我的業務排除電子簽章的適用,只能臨櫃或者是紙本來辦理,很多承辦也不知道為何排除適用,因為一直都沒有檢視過。20 年來累積了很多,每一個人一開就想辦法建系統、找廠商、做資安確認,很麻煩,非常多的部會局處跟地方政府都排除適用,電子簽章法就變成是工具。
-
所以我們現在的想法是,在三年內可以切換到臨櫃辦案,但是不能不接受電子簽章,不接受的話,必須立一部法或者是修一部法,用法定才可以排除法律之適用,這時大部分的部會都告訴我們有動機去檢視,像財政部國庫署去檢視才發現本來的沒有理由,他們也不知道為何寫在那邊,所以他們都撤出、廢除了,現在都可以用電子簽章,起到帶動的作用。他們本來沒有想過,現在重新想,確認可以用數位簽章。
-
電子簽章大家應該都 OK 吧?下下個月連密件公文都打算用電子簽章了,以前都只能跑紙本,但是我人在沙崙的話,要坐高鐵跑紙本,並沒有這麼容易(笑),切換到台北、台南二地居的情況之下,勢必一定要把本來的紙本作業都用電子簽章。
-
也是環保。
-
-
這個電子簽章的業務也跟國際金融業務推廣有關係?
-
對。像歐盟跟日本前一陣子也修了法,我們跟他們接軌,之前舊版的電子簽章法還有一個問題,一定要兩邊簽一個類似條約的東西,但是現在跟我們直接簽的難度比較高,除了 21 世紀貿易有簽到之外,其他都有難度,所以我們在新版的法律加簽條約當然很好,但是就算沒有條約,但對接多技術,像 ISO 或者是其他的,我們也認了,這樣就不需要跟我們簽一個外交上的條約,他們可以分別跟我們對 FidO、W3C、ISO 簽,這都是技術性、無涉政治的合作,所以就自動達成互通,不需要一定要簽外交的合意。
-
部跟署這邊一直在推動資安產業跟產業的資安,也有很多的企劃出來,包含最近的軍民共用,我們有很多可以申請,應該也有很多有通過,謝謝數發部的幫忙。
-
未來幾年如果有重大要布署跟推廣的部分,我們也可以來協助。
-
我想 OT 資安剛剛有提到,不是只有在沙崙,整個南部我們要當作不是很像北部的延伸,而是自己有一個生態系,當然剛剛已經討論過。
-
另外一個也滿重要的,也就是免密碼,我們打算完全不使用密碼,這需要滿大的調整,從有部以來,我第一天就說應該要切換到行動自然人憑證,並不是使用帳號、密碼,資訊處非常賣力,但是也花了一整年,下個禮拜就會全面免密碼,變成我們部裡所有人都一定要有電子簽章功能的自然人憑證跟行動自然人憑證。
-
但是以我的理解,隨著 AI、Deepfake 使用,一對一的詐騙成功率越來越高以前詐騙都是亂槍打鳥,現在大家可以用 AI 模擬一個你信得過的人,在電話當中傳輸,包含密碼就會被騙走,在這種情況下不會被騙走的,真的就只剩下硬體 token 的東西,包含我們的手機,所以有 pass key 跟其他的 token 取代密碼是個方法,如果 token 加上密碼就太麻煩,大家都不想用,所以只要把密碼拿掉,才有可能換過來使用這個方式,我想大家多少往這個方向做。
-
-
這個部分我想資通安全法也會送一個草案,我們在這個會期也打算改資通安全法,這當中也會更加確保對於特定非公務機關、地方政府等等的一些權限,以前的資通安全法還是以部會的為主,現在看起來敵人不會打牆的部分都是挑破口,所以一定要全面加強。
-
我想我們的目的不是要銷售國外的產品,而是希望透過臺灣軟體來開發自己的服務,讓業界可以付得起的資源,可以推廣產業來提升他們的資訊安全,部長有提到數位韌性,業界也越來越可以接受,資安並沒有這麼高大上,把弱點修補好、資安意識做好,其實是有一定的門檻。
-
臺灣的產業對資安來說還是比較陌生的,甚至有些上市櫃公司連帳號都沒有辦法管理。
-
大家都用同一組。
-
誰登入都不知道,像很多資安事件是來自於遠端登入,像 VPN 是不是安全、是否有更安全的議題,我們目前對產業的規範都是屬於指引的等級,我們很多發展的產業都在觀望中,指引做完也沒有關係,依照金管會做什麼樣的措施,我覺得資安對於這個產業非常重要,很多機構都沒有看到資安的成效,是不是等出事的時候再處理,可能忽略資安對產業、公司名譽損失的議題,這是沒有辦法用財務來計算的,因此我們協助這些產業可以有更大的強度,讓他們面對資安,我覺得可以讓他們知道,也就是讓產業制度資安並不是這麼困難,數位韌性的議題非常好,所以會發現不需要花這麼多的錢。
-
像資安瓶頸這個制度,其實是很不錯的,透過簡單的問卷瞭解自己有什麼問題,這個是很基本的,不需要花太多的錢,或許我們的力道可以強一點,讓這些觀望的廠商可以更正視,並不是為了產業的發展,而是真的可以協助這些產業來升級,當然部長提到的 OT,我覺得最近 OT 的需求越來越大,但我覺得臺灣並沒有很好的解決方案,部長在南部可以努力成立一個 OT 的創研中心,資策會也在做資安場域的規劃,我們也希望可以進駐,用 OT 攻防演練的角色,讓這些來參觀的廠商可以知道 OT 會遇到什麼樣的資安問題,我們有什麼樣的可視化工具可以協助他們 OT 的立場。我覺得未來的市場需求非常大,也可以幫臺灣未來的資安產業找到很好的出入。
-
臺灣其實是一個很好的資安場域,我們的市場設定在臺灣,臺灣資安透過政府的協助,能夠讓產業放大,像我們最近有接觸一些日本公司,其實日本公司也非常在意臺灣資安產業的發展,結合臺灣產業的力量,所以我覺得或許對產業的力道可以加強,整個資安產業的發展會更有幫助,這是這一、兩年扶助產業時看到需要幫忙的部分,如果政府可以提供一些協助,強度可以高一點,這樣的幫助會更大。
-
目前大家知道的是雲市集,雲市集目前用 SaaS 的方式,所以當然要透過基本的弱點掃描等等,但主要不會一起步就要花 100 萬的感覺,他花個 3 萬,我們出個 3 萬,其實等於體驗一個月、兩個月,沒有問題然後再續訂,這樣 SaaS 的方式會繼續推。
-
現在雲市集不只照顧中小企業了,也包含長照站、合作社、診所,裡面的敏感個資並不少,但因為一直都不是公司型態,所以以前經濟部不一定可以照顧得到,但對我們來講都一樣,無論是跟內政部、衛福部、經濟部註冊,所以現在是用 SaaS 的方式,希望可以有合作,特別是診所,因為敏感個資滿多的,像疫情時建立戴口罩、勤洗手的習慣,把這個建立起來,可以減少一些後續成本。
-
雖然這些單位資本額不高,但每天接觸到的人是非常多的,所以他們如果有這個意識,然後也提醒大家協助擴散的話,全民教育很容易接觸得到,這是第一點。
-
第二,綜合電商部分,說有 11 億人次看到我們反詐騙廣告,事實上是我們請電商幫忙,在明顯可見的首頁放 165 的相關文宣,發現這對提升意識也非常有幫助。當然之前大家也有看到新聞,我們不得不用個資法稍微罰一下洩漏個資的電商,但我們產業署的目的也不是罰款,雖然最多可以罰 1,500 萬,但我們的業績並不是這個,我們的業績是輔導多少人、店家,若從一開始就不用蒐集這麼多的個資,透過隱碼技術、代表號的轉接等等,其實才是抵抗資安攻擊最好的方法,因為對攻擊者來講,若有其他更有價值的目標,就不會來找你了,這個部分也麻煩一起推到業界,也就是越不必要的蒐集個資、而且這些個資跟你的核心營運也不會有關係,駭客越喜歡你,你需要的投資就越重,但是你用完了也不需要、只存統計的話,其實駭客拿到也沒有辦法拿來做什麼用,也不會被罰 1,500 萬,這個是比較重要的一點,這個是初步的回應。
-
我再補充一點,因為現在的政策工具有租稅優惠跟產業推廣,租稅優惠在資安的部分其實 vendor 跟 user 都有,vendor 端可以申請,使用者可以申請資安的設備,租稅優惠兩方面都可以使用,我覺得這個對於資安產業或者是產業資安的推動是有幫助的。
-
另外,我們其實也有提到補助,像供應鏈資安的補助,現在是零信任的補助,我們也有軍民通用的補助,這一類屬於比較前瞻的技術。各位應該可以認同,政府不應該補助一些 commodity 部分,但我們會補助一些前瞻的技術,這類也有助於資安產業跟產業資安,大概是這樣子。
-
謝謝。
-
部長你好,我先自我介紹一下,我們公司主要是做身分認證,所以剛剛為何會點到我,因為我們從1987 年做到現在,主要是在身分認證的領域當中,前面主要是做各種硬體的 token,硬體的 token 做幾年後,就把公司賣掉,我們做軟體的 MFA,從 111 年一直做到現在,現在除了臺灣之外,還有在瑞典、海牙、東京、美國矽谷等等都有據點。
-
我們公司發展中,其實一直在想的是如何從臺灣市場出發拓展到國際市場,我很感謝俊秀副署長,因為他們的幫忙、輔導、指導,所以去年有機會去 SLA 參加這樣的競賽,後來很幸運拿到冠軍,這都是因為政府能夠指導我們,讓我們在這個領域發光發熱。
-
在此同時,我在想的是,如何讓臺灣本土資安的公司們能夠有獨角獸出現,這些公司除了在臺灣本身做有很多資源的照顧或者是發揮之外,其實我們希望能夠往外出去,可以變成像 Cloudflare 的 PA 500 億以上大型的公司。事實上臺灣是有實力、技術能力來做這些事,但問題是這件事並不只有技術好,就可以達到那樣的規模,其實某種程度當然需要天時、地利、人和,但在此同時,我想請教部長的是,我們各種輔導的措施、補助的措施,其實是讓這個公司有開始點火的引擎,怎麼樣點上去之後,再跨出一步到線、面去,這一步其實非常非常大的一步。
-
像往年我跟科長在 RSA 有遇到,我們今年也有去荷蘭的研討會,我知道政府其實也很努力帶著我們大家一起往其他的國家發展,說了這麼多的背景,不好意思;我的想法是,在這麼多的措施,包含可能國發會的資金與金管會的資金挹注等等,有沒有什麼配套的方式,加上業者自己的努力,可以讓我們國家有「資安獨角獸」出現?
-
國發會現在認列兩支獨角獸,有一列是廣義的資安,他們有時也收到資安當中,但是比較傳統的資安,真的不是訊息層次的,而是技術層次的,確實之前的力道,業界的期待跟國家提供真的有落差,當然客觀來講已經比我 1995 年、1996 年在資訊人好很多,當時不容易想像今天國發基金對軟體的重視。
-
我自己比較花時間的有兩個部分,這算是產業署的題目,要確保不管是金管會或者是國發會,又或者是其他的經濟部等等,他們真的瞭解到這一個產業的獨特性,並不是當作其他以製造業為主的方式,因為長的曲線不一樣,你用本來的方式去做政策設計,就變成很多我以前創業的夥伴,他拿國外的錢、還要拿國內的錢寫簡報,但是寫相反,不管是 VC 界或者是國發基金,其實想法並沒有完全調整過來,我們花滿多時間在做這一方面的工作。
-
初步看起來有一些成績,我們發現國發會終於認列數位建設為公共建設,這是滿大的一步,因為公共建設隨之而來的都是一整套的東西,這是產業署正在想的,數位建設要如何 BOT,這是正在處理的。以前用的是科技預算為主,但公建也有相當程度的預算,這部分產業署會花滿多的時間來想,如何配合國發會和主計總處的政策。
-
第二,我們也需要變成不是只有臺灣公司用臺灣人,也必須要像以色列或是很多東歐國家等等,對這些國家來講,他們想到亞洲,跟他們同一個民主等級的,像自由市場、自由度等等,他們通常都會拿新加坡這一類的,這是心理想法的問題,他們第一時間想到臺灣才會帶這些過來。以前有一些很讓人不滿的地方,像以前就業金卡比較難申請,但可能資安界有些人從小就有一些創舉,很多 10 幾歲就參加很好的競賽,雖然才 20 歲,但是已是這個行業的翹楚,以前要取得金卡是不可能的,因為從成年出社會那一刻才算,因此我請產業署修改,如果 12 歲打比賽有成績,他到 20 歲就已有 8 年時間,但這 8 年是按照成績來算,並不是按照出社會那一刻來算,像我是中輟生就不能那樣算,但是資安界有很多的人才是這樣子。
-
國際的人才發現臺灣 offer 就業金卡,就可以直接跟臺灣公司合作,就算人沒有馬上來臺灣,但是一部分的時間可以來臺灣,這也會讓我們在國際的市場上有比較大的占比,所以公共建設、促參的占比是我們 care 的,這方面也請產業署分享。
-
謝謝部長,我再補充一下,過去幾年政府對於資安產業其實算是滿照顧的,除了剛剛講的投資抵減,像科專預算有 5%到 7%的預算是要拿來做資安,我相信各位都會受惠到。董事長講得好,那 outbound 的部分呢?因為不能只靠臺灣政府,因此有兩個說法,第一個是你剛剛講的,稱為「RSI」,我認為現在我們應該是亞太數一數二,經過這幾年跟 iThome 的努力,只要在國內辦展覽,就會很多人進來看,這就是我們要做的事,並不是不要出去 RSA,像我陪部長去以色列與資安專家談資安,他們對我們的做法感到很驚訝,因此我們會一直做國際連結。
-
我們會做國際連結,過去在國內穩定的時候,以前經濟發展是進口替代、出口擴張,現在是出口擴張的時候,剛剛部長提到臺灣整體形象是很重要的,我們在資安大會要建立整體形象,對外是用整體形象,我們會做更多的 roadshow,包含臺灣整體加在一起,這樣才有力量,像在東南亞已經獲得不少,我們在那邊有能見度,將會整合臺灣。
-
我覺得我們未來在 outbound 的部分,我們會把觸角往世界各地。
-
我們很願意,其實我們最近不管是跟日本或者是新加坡的 SI 公司,或者是資安的代理商都有接觸,其實他們對於臺灣現在資訊安全的能力跟發展出來的產品是非常驚訝的,甚至也希望可以代理我們的產品到東南亞服務。
-
但是如果政府這邊走得比較前面,當然在那個國家也看到一些機會,我覺得其實是可以多拉著我們,一起出海。
-
因為我之前有負責資訊服務業,民國 93 年到 97 年有一個旗艦計畫,精誠是我們的第一個旗艦計畫,精誠那時候是 100 億,100 億俱樂部只有精誠,當然現在不只精誠 100 億,精誠現在 300 億。
-
335 億?
-
對。其實過去政府的一些政策,是有發揮一些效果的,那個旗艦是 11 個加 55 個,總共 66 大順,我記得很清楚。所以我們可以複製那個成功的模式,在資安的部分,如果有機會的話,我們希望可以複製。
-
但當然不是政府帶精誠,精誠可以當母雞,我們認為 300 億在資服業是可以當母雞的,政府可以來協助。
-
我們希望政府可以領頭、支持,不管是人、財、力,這個是沒有問題的。
-
我覺得這次去以色列跟歐盟都可以感覺到,不管是 AI 普及,人已經不隔閡了,他們想要瞭解就瞭解,他們以前還說網站上沒有英文,現在都是機器翻譯,所以以前做 BD 的成本,我覺得大幅下降中,這對我們是非常好的。如果 BD 成本下降到都一樣的時候,就是拼實力了,我們是絕對沒有問題的。
-
我再呼應一下,國內產業一直在推,有錢的單位還是有錢,像我們都有研發能力,自己的本土產品,像政府這邊有需要投資一個建設給那些沒有錢的產業,或者是 C 級單位來共通使用平台做身分驗證好了,我們都有現成的,我們可以弄一個專案出來,跟政府合作一個好的 favor。
-
這就是公建,明年已經編了 4 支,目前媒體有曝光的是 2 支,1 支是把所有這次發 6,000 元碰到部會的系統再強化一次,像 T-road、零信任等等,以後地方政府要發錢,一路到總統府要發錢給人瑞什麼的,他們都有各種發錢的東西,任何發錢跟發放物資的,像 C 級自己建,一定會有漏洞,但是未來不用,就直接用這一次 6,000 元的這套系統來做,這裡面有很多國內的資安公司可以進來合作的部分,確保大家共同維護一套系統,在每一個所謂 A 級機關要導入零信任的身分驗證,其實好幾家分開,我記得現在 11 家有通過資安院的認證,所以就把 11 家加起來,把所有的 end point 弄好,這個情況我覺得滿好的。
-
第二,那些備份到國外,也需要加密分持演算法,證明我們沒有侵犯到個資,這也是另外一個資安技術,比較是預防性,也就是隱私強化技術,這是一個,其他產業署要不要自己說?
-
剛剛部長提到對民間部分,針對小商家也啟動資安服務,政府把環境建置好,讓供需雙方可以打個勾就採買資服,不是很好嗎?雲市集都有經過專家審查。
-
另外一年有好幾百億、好幾千億的政府採購,資安也是其中一個非常重要的項目,我相信精誠也在內。現在資安服務已經上架,所以政府採購只要打個勾,就可以看上架的廠商,環肥燕瘦自己挑。
-
剛剛部長提到政府要做公共建設,民間參與公共建設,可能是用採購案方式,到時跟民間合作,這比較像剛剛理事長所提的,也就是協助政府來做公共建設。
-
是所謂的促參法?
-
對,我們還是要有一些法律的基礎。
-
促參法以前都不能適用軟體,這次也是立法院三讀通過,就直接加了「數位建設」四個字進去,這時我們多了很多政策工具,像 BOT、BOO 都可以用。剛剛理事長所說的,範圍到全國的,我們可以放在這個必經之路,甚至收過路費都可以,這都可以討論,資策會目前正在研究各種促參的方法,之前英國用了很久,他們叫做「PFI」,特別是 pay for success ,之前因為法律關係,沒有辦法在軟體這邊用,我們第一年就打破法律問題,可以開始使用,所以大家可以看一下國外情況,如果有這樣的東西,不管是日本、英國,促參法有一條空白授權,也就是我們可以發明自己的 BOT,我們就可以拿去促參司說業界希望有這一套 PFI 模式,大家可以花一點時間想一下。
-
部長帶領我們玩數位模式所產生出來的。
-
我們實際跟政府單位這邊有遇到一些問題,這個問題我們覺得可以有改善的空間,像集團每一年要應付 300 多場的稽核,很多都是重複第二方稽核。
-
部長、副署長好,勇君從民國 94 年就開始參與政府資安規劃的發展藍圖,也協助政府訂了非常多資訊安全相關的指引跟實際的導入,那個時候是跟何院長合作,將近有 6 年的時間,現在勇君在精誠集團的角色有兩個,一個是扮演技術長的角色、一個是資安合規事業發展,但是在資安事業合規發展的這件事上,我們先提出遇到眾多客戶的痛,我覺得這些角度可能可以提升到如果數發部或者是資安署來扮演適切的角色,對於各個產業,不管是產業資安或者是資安產業應該都有幫助。
-
首先,今年 2 月和運租車、格上租車,包含微風,可以發現有很多臺灣不管是個資外洩或者是漏洞威脅的情勢,其實在暗網就存在的,和運的漏洞在一年前就已經存在,後來還是有心人士去知會才知道,但是我相信以目前而言,這些暗網的情資,以站在國家的立場蒐集並不是難處,因此個人覺得以智慧資安的角色,我們期待是不是可以有一個跟數發部資安署的計畫,定期由我們或者是臺灣資安協會共同把暗網情資針對中華民國臺灣相關的資安法八大產業蒐集,並且產生月報、季報等等統計分析,提供數發部與資安署評估分析與提早因應。
-
那三個和運、格上、微風。不好意思,打斷你,似乎不在資安法的八大產業中?
-
至少資安法的八大產業要先做暗網情資的周期統計分析,針對剛剛有提到最 care 的電商、觀光產業、醫療產業,這三個其實是沒有在八大產業當中,我們覺得目前而言,遇到相當多的情況,我覺得或許可以有一個計畫,我們可以每個月或者是每季產生,把這些八大產業跟應該注重資安防止機敏外洩的產業來提供固定的暗網情資,讓大家都清楚有哪些漏洞已經被暗網揭露,或者是一些比較重要機敏個資已經外洩,可以提早站在數發部的立場跟資安署的立場來即時對於這些單位、產業進行警示,也可以站在國家的角度瞭解原來各個產業或者是政府機關在 A、B、C、D 級普遍性、共通性的弱點是什麼,就可以依據這些統計報告來產生相對應的政策與對策,這個第一點。
-
第二,政府現在推零信任,但所有的客戶、每個人都打電話過來要我們解釋零信任,我們覺得在零信任的過程中,從第一階段的身分識別到第二階段的設備鑑別跟第三階段的信任推斷,我們是有階段性在做,但是很多客戶會覺得要一次做,或者是現在的投資是不是先等明年政府設備鑑別、信任推斷等等確認後再做,否則現在做是不是白做。所以現在客戶就有兩類,一類是提早部署,就是想要先做,但是沒有辦法做,因為政府的設備鑑別 (112 年) 跟信任推斷 (113 年) 都還需時間規劃,這都還在數發部內部研究處理中。
-
就要用國際的大廠,本土的還沒有長起來。
-
是,有一些會觀望,會想等到 113 年全部都準備好再一起做。其實我們智慧資安一直在 follow 政府的政策,資安法的規定要做 GCB,我們就開發 GCB,其中已經扮演了設備鑑別的部分角色,既然資安即國安,資安應該要國造,因此在這樣的情況之下,勇君身為智慧資安技術長,RD 團隊這邊很期待,是否不見得一定要等到政府把設備鑑別、信任推斷等規範定義出來,而是在定義的過程中,數發部或者是資安署可以把業界一起拉進來做研究發展,並不是等最後宣告。像國內許多 A、B、C、D 資安廠商,我就覺得如何善用臺灣資安產業的資源,跟數發部在整個零信任發展政策、制度規劃、技術規範的過程中就一起 co-work,我覺得可以往這個方向努力思考看看。
-
第三,所有政府機關也好、金融單位面對現在這麼多的資安檢測,像雲市集有這麼多的檢測,像弱掃、源碼等等,其實掃出來的問題最難的並不是掃,最難的是如何補,但是如何補的這件事才是大家最大的難處,也是大家最在意跟期待最好的,有弱點修補的知識庫,其實任何的弱點修補就是有其相對做法,只是很多人自己用自己的資源去修補完畢,但這些資源並沒有被分享出來。
-
我覺得過去跟何院長互動參考指引與實務導入,應該要想辦法把這種很值得可以分享出來的弱點修補知識與經驗,透過資安署跟我們整個協會,以及像智慧資安,我們每次、每年來弱掃的數量非常地多,產生這個修補建議方案也很多,但並沒有可以分享,所以我覺得可以跟業界產生一個這樣合作計畫與專案,透過全民共享的資安修補知識,大家來共同維護,讓全民受益,這個是我們看到客戶針對繁重弱點掃描後如何妥善修補的痛。
-
更重要的是,剛剛副署長有提到補助的前瞻計畫,以烏俄戰爭看來,資安韌性加上信任感,我覺得走雲的這件事,前兩天金管會也陸續開放,金融業也可以上雲了。
-
在雲的資安又跟未來傳統資安整個的技術、人才都是截然不同的,其實整個精誠集團在詹董事長的指導跟吳總的規劃之下,去年就開始投入雲資安,我們也在思考政府現在鼓勵上雲,但雲資安的相關規範,是不是也應該按照前瞻的想法一起 co-work 定義出來,像現在國外有很多的標準,如容器化的安全、雲安全的部分,Gartner 也推了 CNAPP,我覺得既然全世界都推了,其實臺灣有很多像智慧資安的公司,我們很樂意快速提出來,但如果有政府相關的計畫也可以 co-work,是不是可以取得政府更多的資源來運作?我們等市場差不多的時候就已經先 ready 好,可以互相呼應,這一點也是我覺得精誠 / 智慧資安在技術角度跟研發角度很樂意投入這樣的資源,這也是站在我們輔導客戶時的聲音反饋。
-
再來,回應一下敝司 詹董事長說講的,身為乙方資訊服務廠商的聲音,我們精誠集團現在面臨一年 300 多場的第二方客戶稽核。
-
甲方也要付出時間成本。
-
甲方也要安排一個人。
-
對,甲方的供應鏈也很多,甲方變成有一個負責稽核同仁,乙方也要弄一個應變組織,專門 focus 這些。我是覺得現在在我們資安法也好,或者是 ISO 制度就是一句話,必須要針對委外廠商進行委外資安稽核,所有的政府機關都非常 follow,把那句話放到合約裡面,但是我覺得稽核這件事是必要,要有這樣的考量,只是這個執行方式可能要由數發部的角度或者是資安署來做,例如:如果合約範圍是維運,甲方來稽核,至少可以檢視與肯定 ISO 的標準 或許只看其他跟維運有關的稽核項目,這個是第一個,應該在資安範疇,依合約範圍為主來進行第二方稽核,這樣不但降低甲方的負擔、也降低乙方的負擔。
-
而且如果是公共建設的話,甲方維運共用的基礎環境,其他機關是使用者,就不用以甲方的地位來行動,確實是這樣。
-
第二個是既然像我們精誠一年有 300 多場,今年要來稽核的有一類是維運類,一類叫做軟體開發,既然有這麼多,是不是有一個所謂的 A 單位已經來稽核過,相同範疇的合約,我們可以保證三個月直接沿用、提供稽核結果給 B 單位。
-
所以並不是聯合稽核?聯合稽核甲方的人力負擔也沒有變輕。
-
如果是聯合稽核就沒有變輕。而是當合約範疇差不多,就依我們所訂的,我們建議可以訂分類,哪一些類別合約可以稽核哪一些項目,這個可以由資安權責相對應的單位,像資安署來協助定義與分類。
-
好比舉大以明小,你稽核了這個大範圍,三個月內就是小範圍當作稽過?
-
對,就是這樣子。再來是如果我們又有第三方稽核在這個時間內,像 BSI,稽核是非常完整,如果 ISO 的認證範圍也 cover 該合約範疇,是不是可以有一個時間可以透過這三個角度可以讓甲方、乙方大家都樂於做委外資安稽核,樂於讓大家都可以做,以上分享,謝謝。
-
其實我們在業務會議、部務會議都有討論過,最後這一個比較簡單,因為我們資安法會修法,修法會有一段預告期,當時的立法理由沒有寫到這麼清楚,當時寫的時候,還沒有這一整套的制度,這個是第一次修改,所以我們累積這麼多的經驗之後,看到法裡面的一句「委外廠商要稽核」,實務上要這個配套、那個配套才可以 work,所以鼓勵大家在那個預告的期間,因為逐字稿會發布,所以可以把你剛剛講的那段逐字稿可以直接整段貼上,變成業界的意見。
-
因為這個是公開的意見放在「Join」平台上,等於大家都可以看到,可以幫你按讚、附和等等,去立法院的每個黨派都會看到這個是業界的聲音,像委員主持電子簽章法的那種類似公聽會,正華也有去,就發現業界當然希望有些更嚴、有些更鬆,但是重疊的地方不大,這時立法院也比較安心,覺得這樣子照案通過,至少兩邊不會太不滿意。
-
所以我覺得不管甲方跟乙方,都要好好運用預告期,把現在實務上有一些窒礙難行或者是可以調整的地方,讓立法院知道,他們覺得不需要太爭議性的部分,也許我們年底就通過了,這樣就不會隔到明年、屆期不續審、大家要等一整年才可以改規則,等於明年 1 月 1 日新的稽核規則就使用,希望大家一起來幫忙,我是很願意把它變得比較合理。
-
我倒過來好了,零信任這一套,自己在公部門如果沒有經驗的話,我們就很難制定規則給大家,特別是設備跟信任推斷的部分,這個維然要講一下我們的策略?
-
因為部的零信任架構是由我來協助執行,其實我們三個都有,都已經在 Cloudflare 直接做每次連線的 policy,但是老實說目前我們在輔導其他機關執行的時候,其實身分的導入就花了不少的時間,像 AP 的整合,過一次零信任還要再一次,我們部內因為都有做單一嵌入,所以零信任進去之後的服務是雲原生的狀態,我們還在持續輔導,也就是把部的架構做好,架構都有了,但這個元件要變成各家廠商的解決方式。
-
我們也面臨到四色定理的問題,也就是這些 protocol 都有自己的,像 A、B 端要跟接的時候,他是要用自己的 SDK,還是用我們家的 API 去做?像標準化如果可以用別的,你要改、抽換別家也很好做,這個是標準的 protocol,你未來在抽換一些層的時候,會比較簡單。
-
我想要快速補充一下,像雲資安也是我目前正在處理的一個項目之一,因為雲原生是我們部裡面很重要的一個項目,我們目前已經有相關的服務在雲上,在容器裡面做資安,其實是滿麻煩的一件事,尤其最近 SecOps 是非常重視,部已經做了非常多的時間,要如何把安全性埋進來,這個部分其實是滿空白的,雖然 CI 是有一些東西,但是也呼應剛剛所說的,如果注重安全性的時候,其實現在開發就不安全了,這就處理 80%,目前像 Google,他們選擇出來的並不是事後資安,而是事前,在前面安全性的部分 80%都處理掉,所以這個部分對我們來說很需要廠商來提供一些雲資安,我覺得是政府下一步,尤其到我們做雲原生的時候,要往開發去想,這個部分大家很認同,說不定 80%的問題在這邊,可以有很基礎性的處理。
-
剛剛維然講的四色定理的意思是這樣,也就是任何系統架構圖畫出來,我們希望相鄰的兩個元件,中間用的是標準協定,而不是這兩個都買同一套廠商,特別是國際雲端大廠的產品,你如果是買國際雲端大廠的產品,你會發現號稱遵循標準協定,但是相鄰兩層是自己的時候,絕對不走標準協定,那就會變成等到本土廠商要進來,你不管要抽哪一邊的時候,你要負起寫 adaptor 的責任,這個沒有人做得到,事實上我們在疫情的時候就是吃這個虧,那個榫頭對不齊。
-
但是你一開始說如果微軟吃這邊,他就不能做 NDN,那就要換一家做,一開始是外商,這個時候本土廠商要換掉,你只要走同一個就可以了,這樣子我覺得是比較長遠的做法,不然立刻就被鎖死了,所以這個是我們很少數一開始我就沒有放掉的一個規則,維然現在執行得非常好。
-
暗網巡守跟弱點的 KB,這其實是類似的事情,是相鄰的,我們現在的一個實際挑戰是,像 iRent,它的主管機關也不是本部,一開始通報只能是 TWCERT/CC,也不是資安院,中間有一個跳不過的程序,所以 TWCERT/CC 收到,要通報,主管機關不管經濟部或者是交通部說要發動調查,這個時候才可以把資安院的人調進來,但是資安院的人又不是一開始接通報的人,所以 TWCERT/CC 的人跑不掉,才變成兩邊要聯合,中間一定要有一個主管機關帶隊,如果不帶隊的話,什麼都拿不到。
-
其實坦白來講,我們在花時間做沒有意義的管理工作,所以我們這個之後會大改,我們業務會議也確定了,就是 TWCERT/CC 明年 1 月 1 日之後就是資安院的業務,在這個情況之下,前面的這一條龍、後面的這一條龍就是同一條龍,不需要再花這麼多的時間溝通,像 TWCERT/CC 建一個 KB,然後資安院又建一個 KB,然後暗網只看八大,但是另外要看全部業界且不互通等等。我覺得我們的目的是,現在幾個法人都在我們底下,像資策會、TTC、TWCERT/CC 跟資安院,裡面跟資安院接壤的地方,以後資安院會扮演很重要的角色,你就會跟何院長講好的話,以後就不會有掉球的問題,這個是可以結構性來解決的。
-
我自己的興趣是在 TWCERT/CC 那邊,因為八大現在都有自己的,我們也滿相信您剛剛提到醫療什麼的,他們被分層看,其實都有一定的量能,但是外界關注的未必是這些,外界關注而這邊沒有看到的變成破口,所以 TWCERT/CC 跟資安院更緊密結合,一開始一定會有一段需要業界來補上這個短差的程度,因為八大都已經這樣子了,但是租車業不是這樣子,所以短差是大家工作的機會,希望有回答這個問題。
-
我想要呼應一下剛剛講到零信任的部分,現在是用 Cloudflare,實際上我們有很多臺灣很棒的資安廠商,我們可以組合起來變成完整的零信任服務來提供給不管是政府單位或者是產業來使用,因為現在第一階段過了,第二階段現在正在推。信任推斷的部分,我們是 go two-phase,但是我們其實有一些是做其他 phase,所以整個起來會變得更完整,我們希望有這樣的機會,即便第三階段的整合規格還沒有非常明確,我們現在就可以組合 POC 的模式,讓我們這些廠商的東西整體組起來,可以給資安院,也就是讓大家看到 POC 的試辦方式,這個就可以執行。
-
所以也可以 cloud first 來做?
-
是,我們其實已經有一些資源,很高興有這個機會試著提出來,看看是不是有這樣的機會。
-
我們 DNS 改一下就可以用了,意思是這樣嗎?
-
對,非常棒的是因為我們用的是 open protocol,所以其實我們都是支援的。
-
這個沒有問題。資安院的存在就是希望可以快速有這些新的東西,因為我是資安院的董事長,我跟董事會也有講說,我們這邊特別是要給 POC 階段多一點資源,如果國際大廠很確定了,其實每個月有多少錢就有多少這個功能,也不會有什麼問題,但是如果要客製化的話,雖然理論現在也是 Cloudflare 之類的,但是比較難從頭弄一個產品來滿足我們的需求,像這樣的客製能力就像剛剛自己也在組合階段的才比較容易,所以這個時候我想資安院是很好的橋梁。
-
資安院本來就有很多由資安院來維運,以及開發中的系統。因為部跟署是有自己的 ISMS,我們好不容易調成雲原生可以用了,也花了一整年的時間,但是資安院比較不是受到甲方的管制,所以如果某些系統要適用 POC 的系統,比較不需要再走一套很複雜的程序。資安院這群人,也就是之後是不是算第三階段的信任推斷同一群人,等於自己驗證的過程中先試用的話,驗證的時候跟你有同樣的語言,不然只看 spec,說不定要花半年才知道你們在做什麼。
-
所以這個我想沒有問題,也可以讓資安院知道你們有這樣的想法,可以預先在 spec 上 co-work,這個我們就先記下來,謝謝。
-
謝謝部長的時間。
-
看有沒有最後要補充與分享的?
-
謝謝部長。