5G時代下的資安防禦新思維論壇:新竹與矽谷兩大科技聚落攜手合作

AIT美國在台協會與我國行政院科技會報、科技部共同舉辦了「5G時代下的資安防禦新思維」系列論壇,日前於2020年11月4日巡迴至新竹場。系列論壇期望帶動各界對5G資安的重視,並透過美台合作聯防以強化、維護園區資安。

專題演講
NEX基金會陳浩維:從攻擊者角度談資訊安全
Why Cyber Security Matters – From the Attacker’s Perspective

「在真實的資安防護中,正向態度以及可被實踐的資安文化至關重要!」NEX基金會董事長陳浩維點出今日我國資安正面臨的挑戰。

圖 3:NEX基金會董事長陳浩維

資安現況到底有多嚴峻、窘困?今(2020)年Tripwire的資安技能落差(Cybersecurity Skill Gap)調查可見端倪,調查顯示98%認為資安工作爆肝吃重,只有1%認為相對輕鬆、1%認為從沒過重。

85%認為資安人才愈來愈難尋覓,就算找到了資安人才也有高達67%認為其技能不足以勝任工作,而且還很難留才,導致60%受訪企業必須採行資安委外,尚未採行的40%企業中再展開,也有85%表達未來一定會採用或可能採用。

圖 4:2020年Tripwire資安技能落差調查。

為何會如此?很大原因在於文化因素,國內經常有資安研究人員找出一個嚴重的資安問題並寫入報告後,最終上頭會決定將此一發現從報告中抹去,這對研究者而言是一大打擊。

或如我國筆電品牌業者遭受APT攻擊後,選擇以最淡化的方式回應處理,國外媒體對於此一態度以史詩級錯誤(Epic Fail)表達遺憾。另外公部門對於個資外洩僅表達已是很久遠的資料,意味著衝擊影響不大,但實際上姓名、身分證字號一生都很少更改,無論多久遠都是很大的影響。

又或者我國推行新數位身分證New eID在即,所提出的配套資安措施為開放原始程式碼,或使用神祕客、黃金獵人等來找尋資安漏洞,但實際上開放原始程式碼不能贏得信任,反而容易讓有心者找到可利用的零日(Zero-Day)漏洞,而懸賞機制是一次性的還是持續性的?若找到漏洞的是對岸的人,他不在意懸賞的財務報酬,選擇另一個通報管道時怎麼辦?

圖 5:New eID推行之配套資安防護工作列舉

陳浩維舉例,資安賞罰須達一定程度才具影響改變力。在賞的方面,美國Apple是提撥鉅額的資安漏洞懸賞;在罰的方面,我國個資法目前僅有2萬至20萬台幣的罰鍰,相對的美國對企業的資安過失動輒鉅額罰款。

由此可知正向態度、資安文化至關重要,其重要性甚至超過資安硬體、軟體、人才、制度。最後陳浩維建議我國資安策略可參考美國CSC(Cyberspace Solarium Commission)報告,包含須有清晰的資安策略與政策、設立國家級資安總監、提升國家級資安韌性、強化資安教育、以及重塑資安生態系。

下一頁:人工智能的深偽技術


關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2021 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416