資安即國安?數位發展組改案還躺立院
為落實「資安即國安」政策方向,政院修法新設數位發展部,並成立「資安卓越中心」,預計本會期通過「數位發展部組改法案」以及「國家資通安全研究院設置條例草案」。但本會期一開議,朝野黨團攻防紓困追加預算與疫情咎責,恐排擠其他重要法案進度,數位相關法案牽涉台灣面對境外網攻威脅,以及國際資安供應鏈接軌,是否如期通過難料,嚴重影響數位國力發展。
行政院新設數位發展部籌備明年度編列經費4192萬預算,「數位發展部組織法草案」等待本會期三讀,如順利最快明年第二季掛牌。數位發展部組織規劃,設置「資通安全署」(原政院資安處升格),以及新設行政法人「國家資通安全研究院」下設兩單位,包括「技術服務中心」納原資策會委外的國家資通安全會報技服中心,以及新成立「資安卓越中心」發展國家任務導向型及關鍵(核心)資安型前瞻研究。不過「國家資通安全研究院設置條例草案」也尚未三讀通過。
行政院發言人羅秉成向《大紀元》表示,數位發展相關法案是基於國家數位發展考量的重要法案,亦受民眾關注,雖然本會期是預算會期,但該案從上會期就開始討論,「大家會盡力在本會期推動」。同時,羅秉成強調,政府相關數位資安工作仍持續進行,不受法案推動時程影響。
國家資安第六期藍圖 催生國際級資安實驗室
根據行政院「國家資通安全發展方案(2021~2024年)」規劃,推動第六期國家資安發展藍圖,以「打造堅韌安全之智慧國家」願景。方案三大目標:第一、成立「資安卓越中心」以資安前瞻研究、實戰人才養成、政府網路實習場域建置、國內關鍵基礎設施工控實戰場域建置、國際合作及技轉五大面向,使台灣成為「亞太資安研訓樞紐」。
第二、「建構主動防禦基礎網路」改變過往面對資安攻擊採取被動防禦,完善政府網際服務網(Government Service Network, GSN)資安防護,提升科技偵查能量防制新型網路犯罪。第三、「公私協力共創網安環境」結合產官學研能量,將資安防護能量擴及民間。防堵供應鏈廠商成為資安破口。
強化供應鏈安全 防供應商成資安破口
方案指出,近年發現多起資安事件肇因於惡意攻擊者駭侵資訊服務供應商後,進一步透過遠端連線等方式入侵政府機關,使得承包政府標案之供應鏈廠商成為資安破口,可見落實政府資訊作業委外安全管理愈趨重要。方案預計強化供應鏈安全管理面向。
因此,強化供應鏈安全管理分兩面向,包括,由資安處主責,強化委外供應鏈風險管理協助及輔導各機關辦理委外作業時,加強對委外廠商資安管理。預計每年遴選10個機關進行實地輔導,以及遴選至少20個機關辦理資安稽核,加強檢視委外管理制度。
針對晶片組裝供應鏈安全,由經濟部聚焦資通訊晶片產品安全性, 建置國際認可「晶片資安檢測實驗室」,解決晶片潛藏資安風險問題,減少國內產品外銷的資安合規障礙,目標2022年成立,2023年取得國際認可。而為了建構安全智慧聯網,方案提到將成立國家級「通訊資通安全實驗室」,研擬資通安全防護參考框架與指引文件,以提升我國5G網路安全。
培養350位資安實戰人才
此外,政府預計四年內,邀請國外資安學界、業界和社群知名人士培訓國內及國際實戰人才至少350人次。2021和2022年各培養50名,2023和2024年預計各培育125位資安實戰人才,以厚植我國頂尖實戰人才培訓及資安前瞻研究能量。
開發鑑識技術 破解假新聞與深偽
「資安卓越中心」(Cyber Security Center of Excellence(CCoE)由行政院科技會報辦公室與政院資安處推動,從前瞻基礎建設計畫第3期預算編列8億成立,CCoE已進入籌備階段,預計2022年初正式成立,正招募百位國內頂尖技術與研究人才。
資安卓越中心專注三大面向,包括:資安的前瞻研究,人才培育、國際合作。中心規劃設置「網路威脅防禦、網路數據分析、先進密碼」三大實驗室,以及政策與產業研究室與資安培訓所;對外,CCoE則期望成為台灣資安與國際合作對接口。
CCoE三大主軸實驗室,其中「網路威脅防禦實驗室」在於蒐集漏洞、病毒等,建立資料庫,發掘國內慣用系統漏洞,開發偵測與防護工具;「網路數據分析實驗室」則聚焦社交工程威脅,包括社群媒體假新聞、假粉絲專頁流量異常與深度偽造(Deepfake)等議題,開發新型態數位鑑識技術;「先進密碼實驗室」則專注國內後量子密碼學,先進密碼演算法研究,開發臺灣加密安全晶片。