台灣數位科技與政策協進會於 10 月 1 日在台北舉辦座談會,聚焦企業網路安全議題以及對國家安全的影響。
在論壇開幕時,數策會創會理事長高志明表示,網路安全不僅是台灣的問題,也是世界各國共同的問題。「網路攻擊現在可能來自許多不同國家,所有企業都必須評估弱點和漏洞。」
此一座談會是由中華民國資訊軟體協會及台灣資安主管聯盟協辦。
近日接待了無人機領域美國代表的高志明認為,無人機技術也存在著可利用的弱點。「僅僅舉辦幾個網路安全和國家安全論壇並不能解決我們所有的問題,但我們可以藉此了解許多企業正在經歷的網攻案例。」
網路安全對國家安全至關重要
國安會諮詢委員李育杰在演講中首先闡述了網路安全的嚴重性以及對國家安全、全球貿易、金融和 IT 基礎設施等各個方面的潛在影響。這個主題對台灣至關重要,根據「經濟學人」,台灣被描述為「世界上最危險的地方」。
「台灣面臨很多威脅。每個人都認為這些攻擊來自中國,但可能來自不同地方。」李育杰指出,人工智慧的興起導致假新聞和虛假資訊風險增加,這些資訊很容易透過社群媒體傳播。
未來,為了應對駭客和網路犯罪分子無所不在,李育杰提到美國總統拜登(Joe Biden)關於改善美國網路安全的行政命令,內容點出了「漸進式改變難以應對迫切危機」的要點。他同意這項聲明,更敦促台灣政府進行大刀闊斧的投資,以促進網路安全。
「我們正處於一個資料開放和透明的時代,你可以輕鬆找到參與政府供應鏈的所有公司。無論是硬體還是軟體的供應商,他們都需要透過設計安全性或滿足特殊要求來獲得信任。」
他指出,當今網路安全已成挑戰性議題,即使是認證為「安全」的產品或服務,也不一定真的安全。
四大信賴支柱
李育杰表示,為了更好地理解網路安全的重要性,有必要從網路安全的四大信賴支柱研究此一主題:「全社會防衛韌性」、「國土與關鍵基礎設施」、「關鍵產業與供應鏈」以及「人工智慧應用和安全。」
當談到「全社會防衛韌性」,李育杰認為,企業正確篩選新員工並留住人才至關重要。」
此外,他表示,許多公司根本沒有在資安方面投入足夠的資源。例如,他最近會見了台電官員,他們表達了對台電在資安防護人力與預算不足的擔憂。然而,破壞台灣最重要的電力供應商,可能會為國家帶來毀滅性後果。
此外,李育杰點出另一個矛盾點。他說道,對於許多企業來說,聘請外部公司來協助解決資安問題,面臨另一種風險,例如網路安全供應商的可靠性。
至於另一個信賴支柱「人工智慧應用和安全」,李育杰提到 ChatGPT 的興起,導致虛假訊息的傳播。人們忽略了「人工智慧最大的風險是,『它』在很多時候都可能出錯。」
在「關鍵產業與供應鏈」的部分,他將網路安全比作新冠疫情期間的「戴口罩」。「如果戴上口罩,就可基本避免駭客和網攻」,但仍應為「不同組織可能有進階安全問題和需求」而量身打造資安防禦系統。
以量子運算為例,他指出,量子運算的興起將使目前的密碼和加密技術在未來 10-20 年內遭到破解。儘管許多企業不需要如此先進的保護,但後量子密碼學(PQC)和遷移對許多企業和組織來說,是非常重要的。
李育杰說,台灣是備受國際關注的重要國家。事實上,許多外國組織都願意和我們交流,並協助台灣升級網路安全。他認為,最好的網路安全計畫,有賴公私部門的合作。
工商企業表示擔憂
論壇尾聲,一些企業代表紛紛表達了他們對網路安全及潛在成本和風險的擔憂。許多人希望政府能夠帶頭為企業提供有關外國公司要求的網路安全合規指引,並改善漏洞和弱點。
目前,網路安全是供應鏈的一個主要問題,國際公司要求台灣公司遵守「設計安全」和組件可追溯性。滿足這些要求通常會為供應商贏得利潤豐厚的國際合約,但對一些供應商來說,對網路安全認證,例如美國政府供應商所需的網路安全成熟度模型認證(CMMC)的投資,恐怕並不值得。
李育杰坦言,不少中小企業認為 CMMC 認證費高、時間長,往往在獲得認證前放棄。
另一名與會者表示,花費新台幣100萬元,對政府來說,並不是大筆開銷,但對少部分的企業來說,卻是一筆負擔。許多企業可能連2萬台幣也捨不得花。
許多台灣中小企業面臨著更急迫的問題,連要「生存」都有問題,又怎能顧及潛在資安弱點或漏洞。這項觀察突顯了台灣網路安全基礎設施的脆弱。
數策會創會理事長高志明表示,台灣不僅在網路安全領域為企業帶來了問題,也對無人機生產祭出高度監管法規。他指出,由於政府的飛行限制,無人機無法在台灣自由飛行、測試極端天氣條件。
為此,高志明建議,將無人機技術研發轉移到機械狗,因「許多控制器和 GPS 系統,與無人機應用類似,且機械狗在測試時,也並不違反任何政府規範。」
高志明這一建議,體現了台灣引以為傲的創造力和創新能力。障礙或挑戰,何嘗不是一個新契機?端看從何角度視之。