第二點建議,剛剛提到非常多的作為已經在進行中,也看到非常好的成效出來,但是在資安人培跟文化的部分,這兩個部分是需要很長的時間才可以看出成效出來,我們初期在推動,也期待政府可以持續支持,讓這兩個部分的資源可以持續。
但是大型企業要要求供應鏈來做資安,其實是有難度存在的,台積電可以要求,因為談判能力足夠,但是對於絕大多數的企業其實有一點辛苦,他們一方面也有成本考量。政府很多單位也有提供供應鏈資安聯防的計畫,我們希望這一方面的計畫可以持續強化進行,建立更多的示範案例,我們希望可以聚焦在中小企業,希望可以給中小企業更多的資源與協助。這個是契機,希望可以把中小企業的問題解決,而且某種程度也解決了大廠的供應鏈問題,因此希望這一個部分可以強化。
我們也有跟中小企業談過,他們沒有這個能力,他們會覺得與其把資安強化,不如付贖金算了,這部分就會造成一個長遠的問題,我們在思考有什麼方法可以讓中小企業有更強的動機來解決資安的問題,我們想的是透過供應鏈的角度是較可行的,近來看到對大型企業的攻擊是透過中小企業供應商來的,因為這是大企業須面對的問題,所以如果透過供應鏈的方式來要求強化資安,我想對於中小企業而言有更大的動機把資安強化。
我們觀察到,過去如 2020 年的勒索病毒攻擊都是大型企業,現在則轉到中小企業,比例很高。但是不太一樣的是,中小企業面對這樣的攻擊沒有什麼能力防禦,大概將近 3 成到一半會支付贖金來解決問題,但是各位知道支付贖金解決了一時的問題,但是助長駭客。
第一,其實我們看到近幾年大家討論資安問題,有一個問題是中小企業的資安,大家知道中小企業缺錢、缺人,資安對他們造成滿大的威脅。我們也看到另外一個面向,像臺灣的大型廠商,根據調查,九成的企業認為跟供應商間的關係,會加大他們被攻擊的可能性,而且企業當中有 6 成以上的反應供應鏈都缺乏資安的防衛,因此我們一直在思考如何幫供應鏈的中小企業如何把資安做好。
接下來想提的意見,政府都在進行,但是希望政府在這一方面可以加強力度或強化一些。
這一次知道部長要過來,我們聯盟在思考如何提出建言的時候,一時之間真的想不出來,因為基本上我們想得到的,政府或多或少都有在做,這一點真的非常感謝。
理事長、數位部的長官大家好,一開始我想以身為資安業者,對政府這一、兩年來的作為表達 12 萬分的感謝,不管是上市櫃公司的資安要求、資安投資抵減、個資法修訂及人才培養、文化培養等等,近幾年來的作為,說實話,以我長期投入資安的廠商來看,可以說是突飛猛進都不足以形容,過去一、兩年我們真的做很多。
第四,之前也有跟部長提到過,要建構資安文化才可以讓資安做得更好,因此後續怎麼樣對於民眾、政府及企業高層建立資安文化的觀念,希望數位部在在方面也加以投資資源,謝謝。
第三,發展臺灣的資安產業。其實產業是比較不缺技術的,產業反倒需要的是拓銷與投資,因此我們希望有資安的獎項來選拔優秀的資安廠商,輔以國際廣宣的活動,並鏈結國內外的資金來予以投資。此外,如果資安得獎可以獲獎的話,希望也能在政府標案中列入加分項,讓這樣的獎項更有吸引力。
建議我們是不是可以設立「城市資安運用」的獎項,鼓勵智慧城市建構之時可以把資安考量進去,以確保整個資安觀念落實在整個智慧城市之上。此外,很多元件是 IoT 設備所構成的,因此建議採用有第三方的安全檢驗認證的設備,以確保整個智慧城市的安全性。
第二,有關於城市的資安,近來各縣市政府都積極導入智慧城市的計畫,雖然很有創新的做法,但是對於資安的部分感覺起來並沒有這麼重視,智慧城市是重要的基礎建設,一旦做下去之後,未來要再調整其實是不容易的,因此怎麼樣把資安做好是很關鍵的。
其次,大家都在談供應鏈資安的問題,這不只是單位本身,還有協力廠商的資安也很重要,對於政府單位而言,資服廠商其實都是整個政府資訊供應鏈的一環,因此政府對於資安的看法不只是單位本身,也要把資服產業的供應鏈放進去,但這需要時間強化資安,因此建議建立資服產業強化資安成熟度的輔導機制,可以逐步強化,讓政府的資安不只限於政府本身,而是要讓整個生態系都強化。
前兩個跟政府有關,首先,希望強化政府整體資安的延續性,過去很多政府專案當中,通常都以專案的期程長度來編列預算,期程結束之後,預算就消失了,但是資安是需要長期維護的服務,我們看到很多案子沒有預算導致資安無以為繼,因此建議未來考慮長期的資安規劃,如果有可能的話,若能單獨編列預算是最好的。
部長、數位部長官及理監事大家好,我想在這裡提幾個對於資安的看法,大家近期來對於資安的問題也很多,我綜整幾個跟大家交流:
