用病毒攻擊電網就能癱瘓國家 中研院資安學者黃彥男破壞供電不用派飛機炸電廠

發佈時間 2022/7/25 09:40:06
最後更新 2022/7/25 09:40:08

【沃草】記者朱乃瑩報導

近年蔡英文政府大力推動「資安即國安」,具理工背景的跨黨派立委也召開公聽會,邀請產業界及專家學者提供意見。立法院資訊安全與科技發展策進會秘書長、中研院資安學者黃彥男指出,政府是資安把關的第一線,也是資訊攻擊的第一個對象,「(敵國)要打掉電力系統,最簡單的不是派飛機炸電廠,而是載入病毒去破壞電網,整個國家就癱瘓!」,資安常常是「說起來很重要、做起來很次要」,應該明確在法規中納入獎懲機制,尤其是罰則,大家才會真正把資安當成重要工作。

立法院資通安全與科技發展策進會秘書長、中研院資訊創新中心特聘研究員黃彥男(來源:台灣民眾黨)

立法院資通安全與科技發展策進會秘書長、中研院資訊創新中心特聘研究員黃彥男(來源:台灣民眾黨)

立法院「資通安全與科技發展策進會」本(7)月 20 日舉辦「數位轉型下的資安威脅趨勢、資通安全管理法修法」公聽會,由民眾黨立委高虹安、時代力量立委王婉諭及民進黨立委江永昌主辦,高虹安及王婉諭也到場主持會議,除聚焦資安問題,也針對數位發展部權責、未來《資通安全管理法》修法方向等問題進行討論。

民眾黨立委高虹安指出,資安問題非常重要,但很難在立法院會期間好好討論,但資安可以讓產業保住競爭力,對於國家安全更是不可或缺。他說明,近年勒索軟體已經從早期的無差別隨機攻擊,變成有目標性、協同性地攻擊關鍵設施,例如前(2020)年大選期間,包含臺大醫院、衛福部、半導體產業都陸續受到駭客攻擊。而高達九成企業使用雲端服務,也有被駭客竊取雲端資料的風險。

時代力量立委王婉諭表示,資安問題除了資訊保存、勒索軟體、駭客竊取個資等,他在前(6)月參加「哥本哈根民主高峰會」時,各國都相當關注資安與民主的關係,擔憂錯誤訊息、惡意假訊息會動搖民主價值。

台灣民眾黨立委高虹安,資料照(攝影/朱乃瑩)

台灣民眾黨立委高虹安,資料照(攝影/朱乃瑩)

《資通安全管理法》修法與數位發展部權責

立法院資通安全與科技發展策進會秘書長、中研院資訊創新中心特聘研究員黃彥男強調,政府是資安把關的第一線,也是資訊攻擊的第一個對象,「(敵國)要打掉電力系統,最簡單的不是派飛機炸電廠,而是載入病毒去破壞電網,整個國家就癱瘓!」

他戲稱「資安說起來很重要、做起來很次要、忙起來就變成不要」,資安的關鍵不在於理論,而在於落實,應該從法規上要求、清楚定義賞罰,尤其是罰則,大家才會在忙起來時,還會把資安當成重要工作,也可以推廣「資安保險」,因為投保前一定要檢測與評估,就會強化落實資安。

「只有設定過防火牆的人,就可以舉手去當資安長?」臺灣資訊安全協會秘書長洪柏岳強調,《消防法》有定義消防人員,《會計師法》也要求會計師要對發出的簽證負責,但《資通安全管理法》卻沒有規範,具備什麼條件才能當資安長,也沒有相應的權責與義務,但人的落差可以非常大,對人員的定義應該更清楚。

洪柏岳也對數位發展部成立以後的資安政策提出疑問。在政府部分,他詢問未來是會由數位發展部提供整體預算,還是像現在一樣,僅訂定通則性的法規,由各級政府自己找財源?企業方面,未來資安產業的主管單位,會是經濟部還是數位發展部?對此兩項問題,代表數發部籌備處出席的行政院資安處科長李中桓均無明確回答,引起主席、民眾黨立委高虹安不滿,批評「連投影片都沒有」,稱將再發函要求提供數位發展部的組織架構、籌備進度。

臺灣資訊安全協會秘書長洪柏岳(攝影/朱乃瑩)

臺灣資訊安全協會秘書長洪柏岳(攝影/朱乃瑩)

臺灣數位安全聯盟理事長、資安公司「微智安聯」執行長蔡一郎則說,目前的《資通安全管理法都是針對政府部門、油、水、電、金、交通、高科技園區等關鍵基礎設施,要擴大範圍到民間部門確實有難度。他強調,臺灣是全球數一數二容易遭到網路威脅的國家,即將成立的「數位發展部」應該擬定符合國家安全需求的資安政策,也指出目前「資通安全署」執行單位並不明確。

臺灣資訊安全協會理事長、「精誠資訊」資安顧問涂睿珅難掩失望,認為數位發展部籌備處在公聽會提出的政策、結構、組織面資訊都太少,也沒說明對《資通安全管理法》修法的想法。

他提出三點建議,包括目前只有金融單位會稽核雲端服務提供商,呼籲資安法應修法納入雲端應用、雲端漏洞。他也指出,臺灣已經有許多業者在做機器學習、資安監控,建議政府多採用國產服務。最後他強調,現在政府的資安研究經費分散在資策會、工研院等不同單位,數位發展部應該匯集民間與政府資安能量,而非重複投資。

資安保險、軟體工程師訓練

臺灣數位鑑識發展協會理事長林宜隆進一步聚焦資安保險。他強調,資安沒有百分之百,必須要有資安保險來完成資安管理的最後一哩路。林宜隆說明,國際上已經有 ISO 27001、27002等資安標準規範,可以依據國際標準設定保費,也應參考近十年國內常見的資安事件。他指出,資安保險可以提高風險防範,風險轉移只是次要,投保者做好資安就可降低保費,且保險公司一定會仔細檢驗,強化資安要求。

知名工程師「TonyQ」、時代力量新北市議員參選人王景弘認為,軟體開發可以用「木桶理論」來形容,只要木桶一個地方有洞,其他地方再怎麼嚴密,還是會漏水。他強調,軟體工程師所受的資安訓練顯著過少,幾乎只有「OWASP Top 10(十大網頁漏洞)」,而企業或政府的資安長,頂多只能幫忙看程式碼、找外部資安團隊幫忙做滲透測試,卻會變成工程師與開發團隊認為「資安有人在負責,我就可以抽離。」

知名工程師「TonyQ」、時代力量新北市議員參選人王景弘(攝影/朱乃瑩)

知名工程師「TonyQ」、時代力量新北市議員參選人王景弘(攝影/朱乃瑩)

他另外指出,公部門資訊標案的成本結構不合理,一個標案約有 20%-30%成本花在合規而非開發過程,而絕大部分政府資訊人員,也沒有足夠的能力、知識去檢驗最終產品,認為應該提供資源與體系,讓政府資訊人員可以尋求技術專業協助。對此高虹安也說,公務體系對資安人才誘因不足,認同引進外部資源協助資訊類型標案。

註解

  1. 立法院於去(2021)年底三讀通過《數位發展部組織法》,行政院目前由政委唐鳳擔任籌備召集人,預定於今(2022)年 8 月正式掛牌成立數位發展部,下設「資通安全署」與「數位產業署」等單位。
  1. 現行《資通安全管理法》第 11 條規範,公務機關應置「資通安全長」,由機關首長指派副首長或適當人員兼任。換言之,目前資安長僅有要求一定行政層級,但並未要求具備特定技術資格。金融監督管理委員會則是針對上市櫃公司,要求「資本額 100 億元以上、臺灣 50 成分股、電商」等三類型公司,應在今(2022)年底以前指派資安長,並設置資安單位;其餘 1367 家上市櫃公司則應在明(2023)年底以前完成。
  1. (公設)財團法人資訊工業策進會。
  1. (公設)財團法人工業技術研究院。
  1. ISO 27000 系列是由國際標準化組織(ISO)與國際電工委員會(IEC)聯合發布的資訊安全標準,27001 是關於資安管理系統的統一要求,27002 則是關於實際作業規範。