政府資安正職人力缺額破千人民進黨立委范雲憂如何因應中國資訊戰

發佈時間 2020/12/7 11:03:16
最後更新 2020/12/8 09:16:35

行政院將啟動組改,增設整合資訊、資安、電信、網路及傳播的「數位發展部」。今(7)日民進黨立委范雲在公聽會上指出,目前行政部門依法需聘用的資安專職正職人力,缺額高達 59%、推估破千人。她質疑,目前各部會對資安的關注與投入卻嚴重不足、專職人力未補足,如何因應數位發展部的成立?又怎麼面對中國資訊戰?財政部財政資訊中心前主任陳泉錫也表示,1998 年政府頒布「資訊委外政策」,以致於目前政府資訊系統過度委外,未能有效控管資安。他建議,各部會應建立自己的「白帽駭客」團隊,「藏兵於各部會」奪回技術主控權。

民進黨立委范雲(攝影/廖昱涵)

民進黨立委范雲(攝影/廖昱涵)

范雲以行政院資通安全處報告為例,2019 年施行的《資通安全法》及相關子法,明定「資通安全責任等級分級辦法」A、B、C級機關,分別要配置 4、2、1 位資安專職人員。

但根據 2020 年 6 月統計,范雲表示,有回報的依法需配置資安專職人力、資通安全責任等級 C 級以上的 1294 個機關,應配置 1678 名資安人力,但實際僅有 993 人,其中正職人員更僅有 685 人。以 97 %填報比例,回推至全部 1330 個機關,等於專職正職人力缺額高達 59%、破千人。

范雲質疑,連依法規定的資安人力都不足,這樣要如何能確保臺灣資安強度?專職有 6 成缺口,無法專職還要兼辦別的業務,要怎麼保障資安?她質疑,數位發展部成立後,缺人問題該怎麼解決?現在都補不足,是相關公務人員資格考試問題?還是部會不重視?還是薪水太低?

范雲指出,數位發展部還必須要有個資及資安的專責獨立監理機關。參考國際個資及資安的保護政策趨勢,2017 年已有 80 多個先進國家成立「個資專責機構」,包含歐盟、英國、加拿大、日本、韓國、新加坡等。她認為,臺灣已經落後國際許多,未來專責資安及個資監理機關的層級,更不能太低。

財政部財政資訊中心前主任陳泉錫(攝影/廖昱涵)

財政部財政資訊中心前主任陳泉錫(攝影/廖昱涵)

財政部財政資訊中心前主任陳泉錫指出,資安根本問題在於人,特別是「人力」。因為歷史背景,1998 年頒布資訊委外政策,這項政策嚴格限制了資訊部門的能力成長和設置。目前政府機構幾乎所有系統都是委外。他強調,不是反對委外,但是政府部門要有能力控制委外廠商,過度委外失去技術主控權,未能有效監控軟體專案開發及資安。

陳泉錫指出,要解決過度委外,要有足夠的人力。美國 2014 年資訊部門人力共有 8 萬多人,人事部門約為 2 萬 7 千人,但臺灣的配置很有問題,反而是人事部門多於資訊部門。他認為,美國是提倡資訊委外的國家,但美國政府自有資訊人力還有 4%,臺灣只有 1.5%,建議臺灣各部會應有合理的資訊人員配置。

陳泉錫建議,資安部署要「藏兵於各部會」。現在政府機關碰到資安問題,要等資安處、調查局、偵九隊來救,但為何不能建立自己的團隊?他建議,各部會要有個「白帽駭客」的團隊。他以自身在財政部的經驗分享, 2019 年網路報稅前,用這個團隊檢視廠商系統,找到很多關鍵的問題。他認為,白帽駭客的團隊建立,不但可以保護部會自身,也可以協助部會健診,減少駭客攻擊。不過他表示,前提還是要有人力。

核能終結者創辦人黃士修出席「因應數位發展部成立,公、私部門資安人力建制及產業資源探討」公聽會。表示擔憂未來新部會有過度擴權問題,別成為空降、酬庸單位(攝影/廖昱涵)

核能終結者創辦人黃士修出席「因應數位發展部成立,公、私部門資安人力建制及產業資源探討」公聽會。表示擔憂未來新部會有過度擴權問題,別成為空降、酬庸單位(攝影/廖昱涵)

人事行政總處副人事長蘇俊榮回應,大家對人總的意見就是「缺人」,但重要的是部會首長願意去動這個缺,不去撥補資安的人,卻一直說缺人,這樣對人總不公平。

至於資安人才要從哪來?蘇俊榮表示,如果是正式公務人員,從報缺、考試到正式進入機關服獄,最少會有兩、三年落差。他建議,目前最快就是由現有資訊人員,去考資安考證照轉制。但他無奈表示:目前就是「生食都無夠,哪有通曝乾?」

蘇俊榮表示,資安人員進入公務體系後,也要考慮薪資問題。他表示,未來考試可能要有個基本資安證照,讓進來的都是「即戰力」。至於未來的資安專業加給,也會適度合理規劃。他表示會設置三年認證一次的機制,資安人員技術需要與時俱進,不然也會被淘汰。

行政院資通安全處長簡宏偉表示,贊同要「藏兵於民」,要像洋蔥式的架構。政府作為管理角色,和民間合作,一層層往外擴,最後到國際合作。他舉例,日前中油遭駭後續,已經把相關案件資訊提供給國外,後來美國起訴 5 名中國駭客及馬來西亞的中國籍商人。他認為這都是彼此資訊共享才能完成。

行政院資通安全處長簡宏偉(攝影/廖昱涵)

行政院資通安全處長簡宏偉(攝影/廖昱涵)

簡宏偉表示,也許是資安處宣導不夠,讓國人認為資安好像只有 60 分。他說,其實很多歐美先進國家,都希望和臺灣交換資訊,因為全球有 1/4 的駭客攻擊是針對臺灣,因此臺灣累積很多模式及數據。過去看到,往往在臺灣攻擊成功的案例,過半年後就會在國外出現。所以很多國家希望合作,臺灣內部不僅有提供去識別化的資訊給國內研究,也將此當作和國外合作的籌碼,能做進一步情報交換,都讓臺灣在國外都有很好名聲。

簡宏偉表示,未來雖有數位部會的相關規劃,但不該把資安全部課責在一個機關內。資安是每個人都要做一點,這樣就可以完成縱深防禦。

註解

  1. 據《資通安全責任等級分級辦法》,各機關有下列情形之一者,其資通安全責任等級為 A 級:一、業務涉及國家機密。二、業務涉及外交、國防或國土安全事項。三、業務涉及全國性民眾服務或跨公務機關共用性資通系統之維運。四、業務涉及全國性民眾或公務員個人資料檔案之持有。五、屬公務機關,且業務涉及全國性之關鍵基礎設施事項。六、屬關鍵基礎設施提供者,且業務經中央目的事業主管機關考量其提供或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性,認其資通系統失效或受影響,對社會公共利益、民心士氣或民眾生命、身體、財產安全將產生災難性或非常嚴重之影響。七、屬公立醫學中心。
  1. 據《資通安全責任等級分級辦法》,各機關有下列情形之一者,其資通安全責任等級為 B 級:一、業務涉及公務機關捐助、資助或研發之敏感科學技術資訊之安全維護及管理。二、業務涉及區域性、地區性民眾服務或跨公務機關共用性資通系統之維運。三、業務涉及區域性或地區性民眾個人資料檔案之持有。四、業務涉及中央二級機關及所屬各級機關(構)共用性資通系統之維運。五、屬公務機關,且業務涉及區域性或地區性之關鍵基礎設施事項。六、屬關鍵基礎設施提供者,且業務經中央目的事業主管機關考量其提供或維運關鍵基礎設施服務之用戶數、市場占有率、區域、可替代性,認其資通系統失效或受影響,對社會公共利益、民心士氣或民眾生命、身體、財產安全將產生嚴重影響。七、屬公立區域醫院或地區醫院。
  1. 據《資通安全責任等級分級辦法》,各機關維運自行或委外開發之資通系統者,其資通安全責任等級為 C 級。