時事評論

民間力量是資安防護網的「關鍵程式碼」

5 八月 , 2016  

國立中正大學巨量資料科技研究中心 諮詢委員

銘傳大學國際事務與外交學程   兼任助理教授

林穎佑博士

隨著八月一號的到來,行政院資通安全處也正式成立,根據報導資安處是擴編原有資安辦(資通安全辦公室)組織規模專責建制單位,將統籌協調相關資安業務,其首要工作就是研議「資通安全管理法」與「資訊基本法」。過去我國除了缺少專責單位之外,法規上的不足亦導致了民間企業對於資安問題的輕忽。即便在政府單位可透過相關的內部規範來加以管理,但仍有相當多的關鍵基礎設施都是民營單位,若無法律的規定,企業在成本的考量下,自然不會投注過多的預算從事資安防護,自然成為黑帽駭客與網軍的攻擊目標,這也讓許多企業在發生資安事件時,為掩飾自身對於資安防護的輕忽,多半將責任歸咎於駭客入侵就可了結。因此,若非透過專法規定,很難要求民間。

這也與國內資安意識的薄弱有關。一般企業對於自身的漏洞皆採取消極的鴕鳥心態,以多一事不如少一事的態度來面對漏洞,這也導致若在接獲資安研究者的回報時,經常是視而不理,並未以正面積極的態度回應,在這樣的惡性循環下,有心從事資安研究者自然有可能會將網站漏洞交給從事網路犯罪的黑色產業來運用,甚至從中謀取利益。對此,有些企業開始設立回報機制,甚至是主動籌辦相關的競賽,不但可發覺漏洞,更可藉此尋找潛在的資安人才。

如Google公司為了鼓勵回報漏洞,有漏洞回報計畫Google Vulnerability Reward Program(VRP),甚至美國國防部在2016年3月發起「駭進五角大廈」(Hack the Pentagon)計畫,向各方好手廣發英雄帖,邀請他們前來挑戰美國國防部網路安全。該計畫將提供獎金給予成功掌握安全漏洞的駭客。這也代表與其依靠自身的資安人員來找尋漏洞與維護資安系統,不如借助開源的精神,利用大眾的力量來維護資安。

過去中國也有由國家網際網路應急中心贊助的烏雲安全網,作為中國資訊安全性漏洞資料庫的回報平台,但在近期因部分原因而暫停營運,可見其制度維護的不易,特別是類似的行為有可能會與當地的法規以及政府政策有所牴觸,都增加了類似制度持續推行的困難。我國雖然於2015年在民間資安社群的努力下,陸續建立線上公益漏洞回報平台,若能獲得政府的支持與協助,成立具有公信力的線上漏洞回報平台,或許便有機會建立集結民間高手的平台,這也增加發掘民間人才的機會。我國民間資安社團的力量,一直是資安實力的搖籃,也在國際駭客競賽中屢創佳績。知名的台灣駭客年會(HITCON)已經步入第12個年頭,並在2015年成立社團法人,致力於培養青年資安人才的TDOH校園資安社群也在近期逐漸成長。如何善用民間力量,使其成為國家資安的後盾,應是政府努力的方向。

, , ,

By



Recommended