離開
進入中研院院士李德財︰馬政府對資安無感 令人憂心
中研院院士李德財(資料照)
〔記者鄒景雯/台北報導〕針對「國家資通安全科技中心」將在四月一日掛牌,中研院院士李德財是資安科技中心的董事,他在受訪時指出,他能理解部分學者反對掛牌的理由,但整個國家資安問題遠高於此,美國的資安工作是由國土安全部統籌處理,藉以確保社會安定與國家安全。在台灣,資安卻受到長期的忽視,政府對資安的敏感度不高,不符合國家安全的基本需求,在資源和人力投入過少的情況下,即使眾多的資安事件發生,執政者卻無感,令他非常憂心與失望。
資安即國安 應立法成立專責單位統籌國家資安策略
他強調,資訊科技是現代化國家的基礎,是總統當選人蔡英文想要發展五大產業的重要關鍵,而資訊安全更是國家安全的基柱,國家的資安架構必須要有「資安即國安」的戰略思維,必須要有專責單位,統籌並規劃國家的資安策略與行動方案。
李院士說明,有關行政院的資訊相關政策與業務的主管單位,長期以來欠缺統合機制。在張善政擔任政務委員時,當時他擔任中興大學校長,曾協同資訊軟體產業界人士,向時任行政院副院長江宜樺反映,資訊相關業務有科技政委與國發會主委兩位主管,在組織架構上,國發會與行政院各有資訊部門,國發會的資訊部門負有跨部會資訊業務的執掌,而行政院的資訊處卻只是幕僚單位,處理行政院院本部的資訊業務,沒有跨部會的整合能力,這種雙頭馬車的運作,一直是個問題。
李院士說,曾建議修改行政院組織規程,將國發會資訊部門的職掌修改,回歸行政院層級之資訊處,讓資訊處肩負起跨部會的協調與整合的職掌,希望就整個制度進行檢討並調整,但政府至今並沒有作為。而國家的資安問題,政府的作為也相當有限。
李院士認為,應該透過立法(資訊基本法),政府部門應有「資訊部門」,要有資訊專業人員,資訊業務可以委外,但必須要有規劃、驗收資訊業務的專業能力,而不是只有承包廠商的意見,或受制於廠商。而資安相關業務,也應訂定「資安管理基本法」。
建議資安中心納入政院資安辦
李德財強調,政府應從資安即國安的角度,就行政院組織規程重新檢討。政府成立「國家資通安全科技中心」,有其必要性,也樂觀其成。政府的資安體系,目前雖有「國家資通安全會報」負責統籌,但資安工作卻由不同部會負責,行政院層級的資安辦公室只是一個行政幕僚單位,功能有限。在國安部分,總統府國安會也設置有資安辦公室,處理資訊戰、資安恐怖攻擊,資安情資蒐集等工作,但國安會資安辦與行政院的資安辦如何統合運作,一直是個問題。
他說,外交部或國防部的資安事件雖是由行政院「資安科技中心」處理,可是其業務執掌卻是總統職權,這也造成資安事件處理或規範的主管機關雙頭馬車的問題。欠缺資安即國安的思維,是政府最大的危機。
目前行政院決定將技服中心改制為行政法人的資安科技中心,卻隸屬於科技部,但其資安權責應是全國性的,真正的問題似乎沒有解決。更為理想的做法,李院士建議,應將資安科技中心的定位重新調整,讓其成為行政院資安辦的一部分,同時讓資安辦的執掌在「資安管理基本法」中明訂;而資安尖端科技的研發,也應設立國家級的資安研發中心,與學術研究機構合作,培育資安尖端技術人才,為資安即國安儲備人力。
李德財表示,大家認為Google的Chrome瀏覽器已經很厲害了,可是前不久中國的駭客團隊在十一秒就破解了。「資訊戰」的攻防,無時不在,政府必須要有機制,不僅要建立起政府部門平時的資安維護能量,也要進行攻防演練,儲備資安人才。
