將近50人的腦袋聚集在一起,可以產生什麼樣的火花呢?在HITCON Pacific今年第一次舉辦資安圓桌高峰會,分成新興科技資安、雲端與物聯網安全、資安人才培育、關鍵基礎設施與資安聯防以及資安百寶箱等五個議題,分別邀請勤業眾信風險諮詢服務副總經理舒世明、行政院資安處處長簡宏偉、臺灣科技大學資管系特聘教授吳宗成、富邦金控資深副總經理李相臣以及臺灣駭客協會理事長徐千洋等五位專家,主持並分享每一個議題的討論。
總結整體的討論結果,負責關鍵基礎設施(簡稱CI)與資安聯防討論的李相臣建議,相關的關鍵基礎設施其實都有歲修的機制,可以趁歲修時候一併落實資安檢查;負責資安人才培育討論的吳宗成表示,「工作,才是學習的開始,」資安人才缺乏在職進修管道,他呼籲政府出面成立提供資安人才在職進修的資安研訓院,並作針對資安人才做分級,提供一個可以循序漸進強化資安技能的技能樹。
CI可排在歲修時間,同步做資安檢查
金融業不僅是關鍵基礎設施重要的一環,從去年7月爆發的一銀ATM盜領事件,今年2月,證券業遭到DDoS勒索攻擊,一直到今年10月發生的遠東商銀SWIFT系統盜轉事件,在在都證明,每一間企業都可能是遭到駭客攻擊的那一個受害者,能否事先知情做好防禦,李相臣認為,資安聯防就是必須要積極推動的資安防禦措施。
因為李相臣之前曾經在政府部門工作許多年,加上後來也在金融業服務,他從公職身分到現在民營業者也看過許多關鍵基礎設施業者提供服務的方式,他表示,圓桌高峰會的結論主要是偏重在,其實目前許多關鍵基礎設施業者認為,資安防禦只要做到實體隔離或者是封閉性網路,其實就已經夠安全了。
但從李相臣長年的經驗和與會來賓經驗交流的情況下,實體隔離往往都做的不確實不管是以前發生的電廠被植入木馬程式,或者是近期發生的ATM或是SWIFT系統遭駭,所謂的封閉性網路還是可以被植入惡意程式。這種種案例其實都可以證明,「封閉性網路也並不像大家所以為的那麼封閉,當然,也就沒有大家以為的那麼安全。」他說。
他彙整關鍵基礎設施和資安聯防圓桌高峰會的建議指出,資安檢查其實是不可缺少的重要環節,但許多關鍵基礎設施業者都會以「服務不能中斷」為由,拒絕各種資安檢查。但李相臣表示,所有的系統都有排定「歲修」的時間,以服務不中斷作為拒絕資安檢查的搪塞藉口並不高明,只會讓人更憂心這個單位的資安狀況而已。
所以他建議,重要的關鍵基礎設施業者,包括油、水、電、交通甚至是工業製造工廠,不論是採用實體隔離的防護措施或者是封閉式網路,都應該在「歲修」的時候,同步進行資安檢測,既可以不影響平日的正常運作,累積到的經驗又可以應用在其他像是臺灣的製造業者的應用情境等。簡言之,只要是關鍵基礎設施業者,不論是實體隔離或是封閉性網路,都應該強制在排定歲修時,同步進行資安檢測。
資安人才應該分級,呼籲成立資安研訓院
資安人才不足一直是各產業面臨的共通問題,尤其政府又高舉「資安即國安」的政策方針時,加上某些主管機關,例如金管會又要求應該設立獨立的資安部門和專責的資安人員,也慢慢拉抬資安人員在企業內的地位和重要性。
面對各界需才孔急之際,卻也凸顯出,許多企業根本沒有足夠的資安人才,吳宗成甚至觀察到,現在檯面上的資安人員數量,根本不足以應付許多企業對於第一線維運或是第二線分析的資安人才需求。
目前針對還在學的學生,吳宗成表示,不論是教育部推動的資安菁英人才暑期培訓課程(AIS3)或者是其他的資安訓練課程,都比以往的多了許多可用資源。但他認為,對於已經出社會的資安人員而言,學校教的課程內容,對社會新鮮人往往派不上用場,工作必須的技能經常得靠自己多方自修學習,甚至有一些更新的技術,都可能得自己花錢去上課、飛到國外聽演講等等。
他認為,相較於在學學生可以獲得的資安資源,在職人士其實更缺乏有系統的資安在在職訓練的課程,因此,他也呼籲政府,如果政府認為從事金融業的人才應該要持續進修,而有金融研訓院的成立,那對於資安人才需要更長期且持續培育的專業技能的話,是否可以考慮成立資安研訓院呢?
資安範圍大,從維運、分析到研究,甚至是對整個組織、體制與政策制定等,都可以被涵蓋在內,吳宗成認為,可以將資安領域的人才做分級分類,分成「人手」、「人才」和「人物」三種類型。
他進一步解釋,所謂的「人手」就是具有一定知識水準,可以理解特定事物的人;至於「人才」,則是有能力應用特定事物的人;「人物」就是具有聲望,被他人認為是某種領域的專家。資安人才若從最基礎的資安維運入門的「人手」開始,慢慢提升能力到可以做更多分析研究與應用的「人才」,最終可以發揮對資安業界更大的影響力,成為資安不同面向的「人物」。
不過,吳宗成憂心的指出,現在光是最基礎負責維運的資安人手,根本不足以因應企業對資安人才殷切需求的情況下,如何有系統的培養這些第一線的資安人手,滿足多數企業最基本的資安維運需求,其實是現在企業要面臨的當務之急,這也是政府可以思考在提升資安產業發展的同時最好的切入點,當有更多人才願意投入資安領域時,就更可以帶動資安產業的整體發展。
徐千洋也觀察到,許多第一線資安人員也想精進自己的技能,但相關的課程一堂比一堂昂貴,政府是否可以仿效當年為了培養更多的嵌入式系統人才,針對有心上課的技術人員,推出政府補助一半學費的政策,可以讓更多第一線的資安人才,在還沒有資安研訓院之前,還有持續進行、自我提升的管道。
除了技能培訓外,徐千洋表示,參加各種會議與社群活動,除了掌握更多最新的技術發展趨勢之外,培養更多社群人脈,更重要的是,這些累積都是協助資安人才,有更多解決問題的能力,「不懂可以自己學、找人幫,但平常就得累積和付出,這些資源都不會從天下掉下來的。」他說。
物聯網風險不可輕忽,政府推動物聯網資安驗證中
簡宏偉也提出針對雲端與物聯網安全議題的結論,他指出,萬物聯網時代的每一件事情都跟物聯網、安全和雲端服務有關,政府目前將會針對物聯網的安全做相關的驗證標準,如何從相關的分級分類到驗證與管理方式做規畫,是政府目前積極在做的事情。另外,他也補充表示,不同產業的與會者也關注到明年5月正式生效的GDPR(歐洲通用資料保護規則),也期待政府可以協助企業法規遵循上,多提供相關的資訊和協助。
舒世明也表示,除了各種新的技術應用帶來新興的風險和威脅之外,在企業組織內部的新興風險也和採用敏捷管理有關係,如何落實變更管理是一個降低風險的重要關鍵。若從現在越來越多物聯網裝置為例,他說,很多裝置根本無法做漏洞修補和更新的情況下,這就是必須要正式的新興科技的風險,至於所使用的雲端服務最好可以透過第三方的標準驗證,確保雲端服務相關的安全性。
民間企業籲資安投資減免,專家建議政府從政策下手
至於首度參加這種仿效世界咖啡館討論方式的圓桌論壇,也獲得許多企業參與者的肯定,來自航空業、金融業、電信業與其他服務業的參與者表示,可以近距離和真正的專家討論與交換意見,有很大的收穫。
電信業參與者從負責企業資安管理的面向出發,建議政府應該要先針對產業類別和規模做分級制度,在依照產業分級制度提相對應的資安要求,會更適切臺灣的產業現況。而航空業參與者也指出,資安往往是企業很大筆的投資,政府是否可以從鼓勵企業投入資安的角度,有相關的資安投資減免的方案,對於企業持續性投入資安會更有效益。
也是這次HITCON Pacific大會講師、在美國線上下單證券業者從事資安工作的Howard Tsui(崔豪)也一起參與圓桌高峰會的討論。他表示,臺灣有些企業一直在掙扎是否要投資資安,美國企業之前面臨到類似的情況,只不過,當時的美國政府從法令下手,強迫企業必須公開揭露遭到駭客入侵或者是個資外洩等資安事件的情況,慢慢讓企業對資安更有意識。
Howard Tsui直言,「政府不狠、企業不從」,非常時刻有時候需要非常手段的配合,寧可事先逼迫企業面對這些資安威脅,而不要等到真到遭駭後才後悔莫及。他也提醒,從政府到企業甚至個人的資安意識,才是能否落實資安最重要的關鍵。
from iThome 新聞 http://ift.tt/2yrP9Et
沒有留言:
張貼留言