[專訪] Pamela Warren：打造安全的數位國度需要人人參與

去年開始，行政院成立了資安處，推動《資安管理法》，總統蔡英文也喊出「資安即國安」的口號。不僅如此，美國更宣佈了一項經費高達190億美元的國家資安行動計畫，英國也宣佈投資19億英鎊推動英國國家網路安全戰略，鄰近台灣的新加坡政府更編列了1.9億新幣推動國家級網路安全戰略。

由此可看出資訊安全防護，不只是企業的事情，更是必須聯合政府一同發展完整的資安政策。而長期負責政府資訊安全防護建議的Palo Alto Networks政府與產業推案總監Pamela Warren，在本刊專訪中分享她過去在各國推動資安防護的心得，為企業與政府提供多項資安政策上的建議。

政府也面臨數位轉型的挑戰

Pamela Warren首先陳述許多政府面臨的現況，一是「雲端優先(Cloud First)」的推動，許多資料與資訊系統均往雲端轉移；二是提倡「共享服務(Shared Services)」，如無線網路存取服務；三是「網路統合(Network Consolidation)」，將過往各自獨立、分立的網路進行統整；四是建議可信任的Internet連接點；五則是當局威脅的集中化，過去隨機發散的資安攻擊已逐漸變成長期化、集中化。

如此情況下政府機構的資訊發展便面臨挑戰，例如變動太快、許多人奔忙於解決問題等，導致組織不能專注在重要事務上，或得投入大量心力在資安攻擊防範上，且資訊孤島的情形使防範效率低落；也基於這兩點，使政府組織尋求創新技術來解決資安問題的腳步變慢。上述挑戰的反面即是政府成功數位轉型，包含專注在重要事務上、成功防範網路攻擊，以及快速採行創新科技。

政府機構若想實現成功數位轉型，Warren認為須以兩要素為基礎才能構築，一是自動化，二是網路保健，以此再搭配三要點，包含資安防護的最佳實務、可付諸行動的資訊智慧，以及資安防護專業培育等。

如同俗話所言「工欲善其事、必先利其器」，工具有落伍先進之別，落伍的工具如弓箭、石頭，是難以讓組織機構進步的，相對的自動化即是良善的工具，而先進的工具並不意味著一定要花錢，也有許多免費工具軟體可供搭配運用。先進的工具也意味著群策群力與時俱進，Palo Alto Networks即有加入並參與Cyber Threat Alliance網路威脅聯盟，為產業的資安防範貢獻心力，一同抵禦日益刁鑽的網路威脅。

另外Palo Alto Networks也於2012年參與美國太平洋軍演（軍事演習），演練的情境如某個島國失去通訊聯繫、與外隔絕時當如何因應。類似的演練也有政府發起對資訊進行測試，例如新加坡政府即進行首次的國家級資安防護測試，共有11項關鍵資訊基礎建設受測，包含交通系統、金融系統、醫療系統、教育系統等，一旦系統遭攻擊或癱瘓時當如何應變。對此Warren也強調：若期望組織的資安防護能力能快速成長，實際演練是最佳途徑。

Palo Alto Networks推動人人懂資安的Cyber Range計畫

不過，大規模的攻防演練並非時常有，機會可遇不可求，因此Palo Alto Networks亦提供資安實戰攻防演練(Cyber Range)，在全球各地設有體驗教室，如美國東岸的Reston、美國西岸的Santa Clara（矽谷），以及歐洲荷蘭的阿姆斯特丹。Palo Alto Networks體驗教室的期許目標即是「Assess Security Best Practices」，言下之意可以在這裡接觸學習到資安領域的最佳實務。

有關Cyber Range課程Warren進一步說明，課程其實分成Level 1、2兩個層次，前者在於路由器、防火牆、釣魚程式、勒索軟體等，屬於單項且局部的，後者在於更廣、更深的攻擊，屬於更長期、更針對性的威脅。

也由於資安問題日益嚴重，資安專業人員需求大增，身為女性高階主管典範的Warren很鼓勵企業在職女性轉投入資安工作，就她的經驗，許多企業內勤女性因工作需要、好奇等而接觸Cyber Range資安課程，進而學習成長而有成就自信，最後真的轉職到資安領域。

Cyber Range還在持續強化提升中，Warren表示，除上述三個地點外，澳洲的雪梨也在近期開始，Level 2的課程也較為新進，約在七月份開始。

除演習、體驗課外，Warren也談到其他需要實際上手的資安工作坊，如ICS/SCADA(Industrial Control Systems/Supervisory Control And Data Acquisition)，此主要著眼在工業控制系統的防護，要考慮的防護層面與過往不同且面向更多，包含導航系統、燃油系統、建築管理系統等，顯見資安邊界範疇的定義改變中，從資安系統擴展延伸到各類型自動化系統。

完善的資安防護其實能增加使用者生產力

回到前述的政府資安挑戰，在攻擊防範上Palo Alto滿足了政府設立的優先性需求，運用威脅智慧分析、智慧性關連、智慧性防範等達到多項防護需求。在網在網路統合的推動上，Palo Alto可以做到端點防護、行動端防護、閘道器防護。在「雲端優先」的推動上也實現了公有雲防護及前述的行動端防護。

另外Palo Alto也支持資料保護推動案，力求國民與員工的關鍵資料都能合乎個資相關法令的規範。此外Palo Alto也運用端點防護、閘道器防護技術保護敏感性資產，如機器人、溫控系統等。

有關行動端防護Warren也舉實例，英國閣員辦公室即採行Palo Alto的防護方案，使辦公室的工作者獲得更佳的網路連線、更廣泛的應用程式選擇、用行動裝置辦公，以及即時協同文件作業等，職員表示資訊設備與環境使用的舒適度如同在家般的便利。而在過去，較高的職場資安防護通常意味著較慢的連線、只能使用限定的應用程式、只能用固定位置的資訊設備辦公、各成員的工作無法即時溝通串連。

最後Warren也推薦一本書，書名「Navigating the Digital Age（暫譯：數位年代的導航）」，這是一本針對董事與企業高層而撰寫的資安指南。書中建議要建立發展3至5年的資安計畫，且建議企業對於變更開發須保有敏捷性，因為企業將面臨新的有心者、敵對者、新的推動方案、新的技術創新等，此呼應一開頭即提及的：「專注在重要事務上、成功防範網路攻擊，以及快速採行創新科技。」

Warren也建議政府單位在資安建置導入外當善用資安委外，委外可立即獲得較新的資安團隊經驗實務、較快的應變程序、較先進創新的防護技術等，使寶貴的組織人力獲得釋放，另也當評估採用人工智慧(AI)、機器學習(ML)等技術來減少資安人員的關注心力。

最後Warren也分享一份調查，顯示資安人力編制吃緊的事實，調查中顯示只有15%的受訪單位認為有足夠的人力進行資安防禦，其餘多表示需要增加人力，由此可知政府機構組織能否安全平穩地行向未來，資安人力配置將是關鍵所在。