「用病毒攻擊電網就能癱瘓國家」　中研院資安學者黃彥男：破壞供電不用派飛機炸電廠／沃草

【沃草】記者朱乃瑩報導

近年蔡英文政府大力推動「資安即國安」，具理工背景的跨黨派立委也召開公聽會，邀請產業界及專家學者提供意見。立法院資訊安全與科技發展策進會秘書長、中研院資安學者黃彥男指出，政府是資安把關的第一線，也是資訊攻擊的第一個對象，「（敵國）要打掉電力系統，最簡單的不是派飛機炸電廠，而是載入病毒去破壞電網，整個國家就癱瘓！」，資安常常是「說起來很重要、做起來很次要」，應該明確在法規中納入獎懲機制，尤其是罰則，大家才會真正把資安當成重要工作。

立法院資通安全與科技發展策進會秘書長、中研院資訊創新中心特聘研究員黃彥男（來源：台灣民眾黨）

立法院「資通安全與科技發展策進會」本（7）月 20 日舉辦「數位轉型下的資安威脅趨勢、資通安全管理法修法」公聽會，由民眾黨立委高虹安、時代力量立委王婉諭及民進黨立委江永昌主辦，高虹安及王婉諭也到場主持會議，除聚焦資安問題，也針對數位發展部1權責、未來《資通安全管理法》修法方向等問題進行討論。

民眾黨立委高虹安指出，資安問題非常重要，但很難在立法院會期間好好討論，但資安可以讓產業保住競爭力，對於國家安全更是不可或缺。他說明，近年勒索軟體已經從早期的無差別隨機攻擊，變成有目標性、協同性地攻擊關鍵設施，例如前（2020）年大選期間，包含臺大醫院、衛福部、半導體產業都陸續受到駭客攻擊。而高達九成企業使用雲端服務，也有被駭客竊取雲端資料的風險。

時代力量立委王婉諭表示，資安問題除了資訊保存、勒索軟體、駭客竊取個資等，他在前（6）月參加「哥本哈根民主高峰會」時，各國都相當關注資安與民主的關係，擔憂錯誤訊息、惡意假訊息會動搖民主價值。

台灣民眾黨立委高虹安，資料照（攝影／朱乃瑩）

《資通安全管理法》修法與數位發展部權責

立法院資通安全與科技發展策進會秘書長、中研院資訊創新中心特聘研究員黃彥男強調，政府是資安把關的第一線，也是資訊攻擊的第一個對象，「（敵國）要打掉電力系統，最簡單的不是派飛機炸電廠，而是載入病毒去破壞電網，整個國家就癱瘓！」

他戲稱「資安說起來很重要、做起來很次要、忙起來就變成不要」，資安的關鍵不在於理論，而在於落實，應該從法規上要求、清楚定義賞罰，尤其是罰則，大家才會在忙起來時，還會把資安當成重要工作，也可以推廣「資安保險」，因為投保前一定要檢測與評估，就會強化落實資安。

「只有設定過防火牆的人，就可以舉手去當資安長？」臺灣資訊安全協會秘書長洪柏岳強調，《消防法》有定義消防人員，《會計師法》也要求會計師要對發出的簽證負責，但《資通安全管理法》卻沒有規範，具備什麼條件才能當資安長2，也沒有相應的權責與義務，但人的落差可以非常大，對人員的定義應該更清楚。

洪柏岳也對數位發展部成立以後的資安政策提出疑問。在政府部分，他詢問未來是會由數位發展部提供整體預算，還是像現在一樣，僅訂定通則性的法規，由各級政府自己找財源？企業方面，未來資安產業的主管單位，會是經濟部還是數位發展部？對此兩項問題，代表數發部籌備處出席的行政院資安處科長李中桓均無明確回答，引起主席、民眾黨立委高虹安不滿，批評「連投影片都沒有」，稱將再發函要求提供數位發展部的組織架構、籌備進度。

臺灣資訊安全協會秘書長洪柏岳（攝影／朱乃瑩）

臺灣數位安全聯盟理事長、資安公司「微智安聯」執行長蔡一郎則說，目前的《資通安全管理法都是針對政府部門、油、水、電、金、交通、高科技園區等關鍵基礎設施，要擴大範圍到民間部門確實有難度。他強調，臺灣是全球數一數二容易遭到網路威脅的國家，即將成立的「數位發展部」應該擬定符合國家安全需求的資安政策，也指出目前「資通安全署」執行單位並不明確。

臺灣資訊安全協會理事長、「精誠資訊」資安顧問涂睿珅難掩失望，認為數位發展部籌備處在公聽會提出的政策、結構、組織面資訊都太少，也沒說明對《資通安全管理法》修法的想法。

他提出三點建議，包括目前只有金融單位會稽核雲端服務提供商，呼籲資安法應修法納入雲端應用、雲端漏洞。他也指出，臺灣已經有許多業者在做機器學習、資安監控，建議政府多採用國產服務。最後他強調，現在政府的資安研究經費分散在資策會3、工研院4等不同單位，數位發展部應該匯集民間與政府資安能量，而非重複投資。

資安保險、軟體工程師訓練

臺灣數位鑑識發展協會理事長林宜隆進一步聚焦資安保險。他強調，資安沒有百分之百，必須要有資安保險來完成資安管理的最後一哩路。林宜隆說明，國際上已經有 ISO 27001、270025等資安標準規範，可以依據國際標準設定保費，也應參考近十年國內常見的資安事件。他指出，資安保險可以提高風險防範，風險轉移只是次要，投保者做好資安就可降低保費，且保險公司一定會仔細檢驗，強化資安要求。

知名工程師「TonyQ」、時代力量新北市議員參選人王景弘認為，軟體開發可以用「木桶理論」來形容，只要木桶一個地方有洞，其他地方再怎麼嚴密，還是會漏水。他強調，軟體工程師所受的資安訓練顯著過少，幾乎只有「OWASP Top 10（十大網頁漏洞）」，而企業或政府的資安長，頂多只能幫忙看程式碼、找外部資安團隊幫忙做滲透測試，卻會變成工程師與開發團隊認為「資安有人在負責，我就可以抽離。」

知名工程師「TonyQ」、時代力量新北市議員參選人王景弘（攝影／朱乃瑩）

他另外指出，公部門資訊標案的成本結構不合理，一個標案約有 20%-30%成本花在合規而非開發過程，而絕大部分政府資訊人員，也沒有足夠的能力、知識去檢驗最終產品，認為應該提供資源與體系，讓政府資訊人員可以尋求技術專業協助。對此高虹安也說，公務體系對資安人才誘因不足，認同引進外部資源協助資訊類型標案。

註解

立法院於去（2021）年底三讀通過《數位發展部組織法》，行政院目前由政委唐鳳擔任籌備召集人，預定於今（2022）年 8 月正式掛牌成立數位發展部，下設「資通安全署」與「數位產業署」等單位。

現行《資通安全管理法》第 11 條規範，公務機關應置「資通安全長」，由機關首長指派副首長或適當人員兼任。換言之，目前資安長僅有要求一定行政層級，但並未要求具備特定技術資格。金融監督管理委員會則是針對上市櫃公司，要求「資本額 100 億元以上、臺灣 50 成分股、電商」等三類型公司，應在今（2022）年底以前指派資安長，並設置資安單位；其餘 1367 家上市櫃公司則應在明（2023）年底以前完成。