Cybersec 2020 台灣資安大會
一點觀察:
大概主要政府機構都派員參加,我想這也和國安單位的推動有關。五月以來堪稱「動搖國本」和「國人信任」的資訊安全事件層出不窮,至今仍無堪讀堪用的公開檢討報告。實質 CyberSec 2020 延後舉辦,此會議恰是鼓勵公部門面對產業和利益相關者的極佳場合。這可由多人的出席和蔡英文總統的致詞得見一番。
有些政府單位也準備了比較豐富的題材上台報告,若安排得宜,則有公開交流,例如針對《資通安全管理法》施行細則和未來修法方向之交流。但有些單位因為業務屬性屬於機敏範圍,雖說聽眾興趣爆棚,但演說品質猶如清水。調查局即是其中之一。落差過大,有點可惜。
無論如何,走一趟 Cybersec 2020 台灣資安大會都能學習到不少。iThome 有不少精彩報導。
另外一個重點是總統致詞全文。但這致詞毛病不少,可歸納為下列幾點:
(一)以總統高度,這應該是把「安全」和「戰略」的場合談得更清楚的好機會。但由於主辦單位承攬慣性,難以避免的因襲了經濟部工業局優良的產發論述傳統,反而在「安全層面」沒談到接下來的整體國家和社會所面臨的重頭戲(如台美即將共同發布的宣言)。談的方向落入經濟部的重頭戲,如「搶先佈局 AI 人工智慧」「物聯網的資安應用」等。總統府「掉下來」談這些產發議題,就沒人能談、要談更重要的上位議題了。
(二)「數位發展部會」的訊息不明,節奏不明。在此場合再度強調,並非聰明之舉,只是促進更多猜疑和競爭。而且對這部會的職掌期待太大,未來失望可能會更大。何況,「數位發展部會」難道要肩負台灣所有在資訊和網路領域的安全任務?這也說不通。
(三)至於『「數據驅動」為核心的主動防禦體系』不知是否有更深一層的公開論述。目前看來,軍、情、安全等系統原本執國家防禦之重的單位,並未納入《資通安全管理法》等範圍。「情報隔離」的作業原則根深蒂固,在沒有威脅情資分享傳統的單位,如在衛福部 H-ISAC 還說得通,但在軍、情、安全系統可非如此。此法上路後也花了兩三年建立很基本的聯防機制。建立的步驟仍在實質初期就要根據數據能推導出「主動防禦」的態勢和作為,我感覺實務上會有巨大的落差。例如,主動的責任是什麼單位在擔當,情資如何交換等,誰能指揮,有權指揮等,目前在公開場合的討論,仍然付之闕如。既然還是空的,那就還是流於空話。
以上。
