數位部例行記者會逐字稿
-
司儀歡迎來到今天記者會,主題是「資安院接手營運 TWCERT/CC 推動公私協作聯防,強化資安」,首先介紹今日的出席長官,數位發展部唐鳳部長、國家資通安全研究院何全德院長,現在請何院長來進行簡報。
-
何全德部長、次長、各位媒體記者,接下來就由我來簡單介紹一下今年 1 月 1 日,部裡面有一個很重要的政策,就是把 TWCERT/CC 交付給資安院來營運,我如果用一般白話來解釋,TWCERT/CC 就像是網路資安事件的 119,就是全世界剛起來的時候,有些民間的組織認為發生資安事件需要有一個單位通報、分享,串聯全世界來共同聯防,所以今天我們要跟各位媒體記者先生,來分享這樣的業務。
-
何全德可以看到在國內民國 87 年來,經過幾次不一樣的單位接手營運,各位可以看得到除了學術機構以外,其他都是法人,並不是政府機構,因為一開始這個組織是由民間開始發動。TWCERT/CC 比網路資安事件的 119 有幾個主要的功能,第一個是資安情資的分享,全世界有很多資安事件,為什麼要這個單位來當臺灣協調的窗口,希望把全世界發聲的資安事件、資安漏洞,透過這樣的組織可以彼此分享。
-
何全德第二個,因為臺灣也是國際社會的一員,把臺灣的情資透過這樣的組織來分享。接著當然是應變協調,發生資安事件在第一時間,每個企業都有他後面的廠商,當然如果有需要的話,需要後面有一個單位可以做這樣的支持,也包括國際合作,最重要的是希望經由這樣的單位來結合各界的力量,不斷推廣資安的意識。
-
何全德各位記者一定會想說,為何部長會這麼厚愛我們資安院?把這個工作交給我們?事實上,資安院在成立一年以來,從技術服務中心的時代,也包括我們有非常豐厚處理國家層級的資安事件的經驗、協作聯防的經驗,比較重要的是我們政府機關的資安事件通報應變有一定的資安法,但是企業的資安事件通報目前並沒有法規,但是不管怎麼樣,資安院會透過幾種方式來提供這樣的服務,包括我們希望擴大會員,因為只要成為 TWCERT/CC 的會員,我們就有管道把我們資安的情資可以提供出去。第二個,如何願意讓企業來通報,還有怎麼樣跟行政機關的合作、鼓勵大家通報,還有一些我們正在跟民間的企業做一些鏈結,臺灣作為全世界的一員,我們也需要跟國際的合作,所以細節我就不講。
-
何全德這幾個在我們的簡報當中都有,我這邊除了書面的資料以外,我再補充一下,因為資安院接手以後,剛剛講說我們有非常豐富的經驗。再者,部長做這樣的決定,也是全世界類似這樣的組織,沒有像臺灣有這樣的配置,以前都是純民間組織在接受通報應變,後面沒有別的國家、這樣的組織,一個非常專業的法人在後面提供各種技術的協助,我想這樣的案例,我們了解全世界很多類似的組織,臺灣應該是第一個。韓國有類似的、但沒有這麼多人。
-
何全德這部分是當時部裡做這樣的決定,所以透過這樣 TWCERT/CC 的運作,過去在資安法裡面有八大關鍵基礎設施,但是企業那塊並沒有類似的組織,所以資安院會把過去二十多年處理政府資安通報應變等等各方面的服務,我們會透過 TWCERT/CC 的管道往旁邊擴散,所以某種意義來講,今天可以講部長做這樣的決定,是幫我們國家打造第九項的關鍵基礎設施,等於我們資安法規定有八個,這個是法律,但是另外一個廣大的企業當中,經由這樣的組織,還有資安院在後面提供這樣的支持,我們國家的公、私就連結在一起,所以某種意義上,資安院作為國家層級的行政法人,由這樣的平台,是都會連在一起,所有公私網路、資訊就可以彼此分享,我們在公部門掌握資安的情資,就會發現某個企業有同樣的漏洞,我們會主動通告,這部分在某種意義是這樣。
-
何全德各位媒體記者可能會問,資安院接手以後,跟過去的基礎之上,未來有什麼不一樣,會達到協助把企業資安做好?我想第一個,除了我們去鼓勵大家來做會員,讓我們有一個機會、管道去提供服務以外,我們也會像某一個企業受害了,除了來通報以外,我們也可以提供諮詢的服務,必要的時候,除了諮詢的廠商以外,資安院的團隊也可以做第三方的協處,這是將來我們要提供的第一個服務。
-
何全德第二,若掌握某個軟體、硬體、通訊設備的弱點,發現使用這個設備,除了政府機關以外,也有民間的企業,以前可能要經過好幾道程序才可以輾轉通知,經由這樣的通知,我們就會立即通知,所以等於加速資安漏洞很重要的流通管道,所以這樣的情況就做了聯防,還有部長一直要我們資安院來做公私聯防鏈結,也就是某種意義上,TWCERT/CC 交給資安院營運以後,我們幫國家打造第九項關鍵基礎設施,很重要的是,資安院目前已經積極、非常好的成果建立管道了,我們跟資安主管聯盟 CISO 有這樣的聯絡管道,所以他後面的產業跟我們連結在一起的時候,變成後來我們可以彼此互相交換情資,讓情資速度更快、問題處理更快。
-
何全德再者,部長也指示我,我們要去跟無店面商業同業公會,他們有廣大電商平台的會員,過去沒有這樣的機制,資安院承接以後,又把它連結在一起,所以就很快來進行相關資訊的分享等等,甚至將來人才的培訓,這個是第二個我們要來做的部分。除了無店面公會以外,我想國內很多高科技聯盟,還有重大的一些產業,目前我們如何建立這樣的管道,綜合以上幾個我所說明的 TWCERT/CC 交給資安院來營運,一方面我們經由資安院後面廣大的技術、專業能量,二十幾年政府經驗,往廣大企業來擴散,尤其我們中小企業都是中小企業,不一定有這樣的能力,這個是第一個很重要的。
-
-
何全德第三,我們將來會提供主動的服務,除了主動告知、系統存在漏洞,我們主動告知如何改善以外,我們將來也正在跟一些民間的業者,看是不是可以用 free source 來幫他們進行一些公開信的風險評估,我想這樣對於曝險的情況,過去不一定有這樣的能力,經由 TWCERT/CC 做最後的處理。
-
何全德最後很重要的是,透過這樣的東西,把臺灣資安事件的情資彙整,我們往國際社會分享,能夠彰顯臺灣在全世界的網路韌性,善盡地球公民的一份子,讓更多全世界友好的國家,願意做更好的連節、建立更多的信任,共同處理可能未來的一些資安事件。
-
何全德以上我把意義來跟各位分享,這部分特別感謝部長對於資安院的信任,將來也會如同跟各位記者、先進所談的服務,希望經由這樣的記者會,透過各位媒體記者先進宣導,讓更多的企業,雖然沒有法的依據,可是可以加入通報的行列,讓我們有機會幫廣大的企業來提供服務,謝謝今天媒體記者先生對這個問題的關心。
-
-
-
唐鳳首先,大家聽到 TWCERT/CC 在最近,我自己聽到印象比較深刻的可能是之前 iRent 事件發生的時候,當時是國外的研究員直接找上我,我就直接往 TWCERT/CC 通報,第一時間來進行這樣的應處。在當時我們就發現不管是各個部會,像當時應該是交通部所主管,其實不分大小的民間企業都需要這樣即時通報、應處,甚至是主動協助的服務。雖然目前資安法第 18 條,是我們得到重大資通安全事件情報時,不分是不是關鍵基礎設施,我們得提供相關協助,但是民間是更期待我們提供相關的協助。所以在那個案子當中,我們當然主動來協助,從那之後,我想只要是重大相關個資的事件,就算不是民間單位,而是關鍵基礎設施,只要主管機關知道了,我們讓資安院跟著進行個資行政調查,當時資安院、TWCERT/CC 都派人,這樣過了一陣子,雙方就有革命情感,所以我就跟何院長說,不如 TWCERT/CC 直接進入資安院,變成由資安院、從今年開始來營運,這個是這件事的脈絡,這個是第一個。
-
唐鳳第二,因為現在新資安法修法即將提到院會、立法院,我想在裡面還是會秉持相同的精神,當然你是關鍵基礎設施、當然就有像資安法通報的義務,如果是民間的話,雖然沒有這個義務,但是我們會很鼓勵來加入 TWCERT/CC 相關的會員,或者是就你現在所在的產業、無店面商業同業公會、Semi、Ciso 等等你加入他們這些聯盟來跟我們進行聯防,這樣就可以享受到相當於關鍵基礎設施由 TWCERT/CC,也就是資安院這邊提供的即時應處跟通知的保護,以上兩點補充。
-
-
-
孫偉哲剛剛我們的院長、部長有提到,現在沒有法源依據做這件事,目前通報的數量,我們接手三個月左右,目前接手 20、30 幾件數量,這些資安事件類型也蠻多的,五花八門都有,大概是 20 到 30 件左右的數量。現在大概有 500 個會員左右,從我們接手到現在大致上成長了 10%的數量,我們持續推廣這件事。
-
-
-
-
孫偉哲前陣子有看到在論壇上,有一些論壇上會販賣個資、敏感的資訊,我們剛好看到某個企業,賣的人聲稱有 2T 左右的企業內部資料,剛好那個企業剛要加入會員,有提出申請、我們在審核當中,我們剛好注意到這個企業剛接到申請書,所以就依照這個狀況直接通知那個企業,確認這些資料是不是他們內部洩漏出去,是不是真的如賣方所說有這些資料在販售。
-
孫偉哲另外要提的是,有關於個資的部分,因為這部分現在還會跟著中央目的事業主管機關一起做行政檢查,包含重大介入、協助他們提供意見,看如何就個資外洩的部分來做改善,從技術面出發,看他們系統、架構跟配置有無問題,他們也找廠商來做鑑識跟處理之後,我們會去看他們後續的補強措施是不是合理、是不是可以針對這次事件來做好好補強,未來是不是因為同樣的事件、原因再發生,我想這是有關於通報部分處理的狀況。
-
-
唐鳳廣義來講,我們後面負責政府那塊,包含 N-CERT 等等,都是在支援 TWCERT/CC,共享一個包含情資通報的平台,可以說全部 250 多人都是在支援 TWCERT/CC,只是 TWCERT/CC 是面對民間,不像其實同樣由資安院負責的 NCCRC,就是面對電信業者等等。看院長要不要額外說明?
-
何全德後面 250 個可以幫 TWCERT/CC 來服務,因為這個資安事件的處理需要各種不同的專業,包含檢測、通報應變等等都可以提供服務,這也是我剛講說全世界很少有這樣的案例,TWCERT/CC 通報窗口,有 250 個專業人員提供這樣的服務。
-
何全德剛部長提到通訊傳播領域,也是今年 1 月交給我們營運,也就是剛剛提到八大,目前專責的人有四個人到五個人左右來處理這個業務,但是四到五個人還是有 250 個人,所以資安事件通報的時候分成兩線,第一線面對通報應變去做相關的處理,第二線是第一線沒有,後面就有很強大技術團隊,可能有一些可以更深入分析、數位鑑識,資安院並沒有額外增加人力,而是善用既有的人力跟經驗,還有掌握國內外情資來分享給企業。
-
唐鳳如同剛才所說的,如果它不是關鍵基礎設施,不會因為加入 TWCERT/CC 會員之後,忽然取得通報義務,而是覺得通報可以獲得即時應處的時候,他才會來通報,但是我想更重要的是我們主動通報過去的這點,因為很多時候政府這邊會接到國外的情資,國外的情資就會說用這個系統、版本的都會有危險,這個時候只要有加入會員的話,你是用這套系統的,我們就會立刻通知你說現在有曝險、必須立刻更新等等,或者國外的情資讓我們發現現在駭客正在針對某個供應鏈進行攻擊,雖然現在還沒有打到你,不過就快了。這樣就可以主動通知,這些都蠻重要的。
-
王安定部長、各位記者朋友大家好,我是國合組的組長。目前的資料我手上沒有,因為跟外交部的配合上,每年度都會有合作的事情,我們會安排一些外館的稽核,一般來講,我們針對資安事件通報的話,通報的機關都會有一個問題,會回答是不是需要資安署或者相關的協助,如果需要的話,我們會主動幫忙做一些資料的搜集、分析,所以針對這部分可以協助的部分,依照通報機關的需求,可以做一些見解、系統分析、漏洞與情資分享等等,如果是針對外交部的部分,會有一些外館的見解,像去年也有進行,今年按照時程上,也會跟外交部配合,做這部分的巡檢,謝謝。
-
-
-
-
-
唐鳳其實是一個例行的工作,我們會依照當年度情資,來判斷外館受到哪方面的威脅,然後特別規劃要進行哪些健檢部分,這個是第一個。第二,像我們自己也透過自然人憑證或者行動自然人憑證去進行公文傳輸的時候,是採取端到端的加密,意思是只有我簽核這個人、上一手簽過來的時候 ,是直接針對我的手機或者自然人憑證來加密,所以只有我打得開,中間就算被攔截了,攔截的人是收不到,目前這套系統是數位部本身來試用,也就是民間線上簽核系統,不過我們就算在試用的過程中也已經收到,包含外交部的範圍內的一些相關部會覺得這套系統在資安防護等級上,可能是比較好或有值得參考之處。
-
唐鳳這套系統主要的目的是即使是在行動辦公的情況,你離開內網的情況,以前是靠內網防護,一離開內網就很難防護,現在是採取零信任的方法,所以在解密的時候,也會需要手機上的指紋認證、裝置認證、行為認證,或者一定要有自然人憑證才可以解得開,就算在外館常常會運用一些當地的電信商等等,但是都沒有關係,因為是端到端這個終端才進行解密,這部分我們也會盡快跟行政院進行討論,看是不是可能擴散到其他相關部會。
-
-
唐鳳我們目前並沒有接收到系統這方面的情資,主要的原因是因為資通系統跟資訊是兩件事,如果是在個人或者處理的時候,經手一些資訊,而這些資訊本身外流是一回是,資通系統是處理所有訊息的系統,這個系統被打入,當然這個系統裡面,除非是採端到端加密,不然裡面所有的資訊都受影響。這兩個在資通安全法是不同的態樣,所以您剛提到有沒有因為資通系統進行通報,以我們目前所知是沒有收到這方面的。
-
何全德有關 iThome 問到這個問題,TWCERT/CC 怎麼樣加強、宣導,資安院接手以後,在過去有的基礎之上,我們大概有幾個做法,我們會選擇一些策略性,優先請他們加入我們會員的產業,我們的做法會用供應鏈的角度,因為現在的資安是從供應鏈的角度,我今天不方便講是哪幾個,剛剛已經講了,像是 Ciso、Semi、無店面公會,我的作法是主動邀請這個供應鏈相關的企業到資安院來,由院長親自簡報,說如果加入以後怎麼樣雙方來協防,得到非常好的回饋。
-
何全德第二,今年 5 月的資安大會,我們也會在會場上進行相關的宣導。第三,某個形式上的第九個關鍵基礎設施,我們有一個 TWISAC,透過幾個關鍵性的產業跟後面的供應商來加強宣導跟提供服務。另外,很重要的是我們跟主管部會的合作,有下面的目的事業主管機關,說不定連工程會透過這樣的程序來擴大宣導,加入會員以後,能夠有一些誘因,我們主動服務、提供相關的情資,我們會擴大努力。
-
-
唐鳳剛提到數位產業署,因為在有數位部之前,比較不會當時還在經濟部工業局直接跟技術服務中心來進行這方面的協調,這大概不太可能,因為技服就是只管政府裡面、關鍵基礎設施的事情,但是現在正華署長、何院長非常緊密在合作,除了像剛提到宣導的部分之外,為何講無店面商業同業公會,像是剛講到的成功導入一些做法,像是透過物流隱碼技術,讓以前都在 165 高風險賣場的這些電商,在最近已經從高風險賣場已經完全絕跡。
-
唐鳳這些包含遊戲產業、從 4 月 15 日開始成為像 FB、Google 的網路平台主管機關等等,這些我們都不會滿足於在事後做行政調查或者做應處,每次看到這些常見的態樣,就會跟數位產業署來進行討論如果在前端防止、預防勝於治療,先導入怎麼樣的數位信任技術,其實後面根本就不會發生這樣的事,所以我想從後面的應處一路往前到前端防護,不只是像在政府當中透過數位韌性巡檢來做,我們也透過數位產業署跟各行各業在數位轉型的時候,也來協助他們,很謝謝資安院的貢獻。
-
-
-
唐鳳在交接的過程中,我也有跟黃候任部長說,最重要的一些作用法,像是《電子簽章法》應該很快就會三讀通過,又或者《資安法》的修法、《詐欺危害防制條例》(俗稱的打詐專法)裡面,現在都承擔了一些社會各界都覺得應該要主動出來承擔的任務,包含線上廣告等等,這些我們都會盡快在 520 之前就把他提出到立法院,也處理到一個段落,這樣黃候任部長上任時,就可以來進行相關的施政。
-
-
-
-
-
何全德第三,我做這個工作有一個感覺,雖然民間企業沒有法的強制規範,但是這幾年來我們的企業,像是高科技、無店面公會,所有的企業對於資安意識提醒、提高,對於個資的保護都有這樣的需要,所以他們也在尋求除了公司專業的廠商之外,也另外有一個像是資安院這樣的組織,有專業、且可以被信任有這樣的單位來尋求合作,這個是我們將來要推動的服務。
-
iThome由於資安院面對關鍵 CI 有資安法 有技服中心,而 TWCERT/CC 業務面對民間企業不能拿棒子,感覺態度需要不一樣,想知道資安院這邊是否會有不同組別負責,避免角色上可能的混淆?
-
何全德目前初步階段先由院的人力來做這樣的事,將來不排除就這部分我們再成立任務編組等等,我們有一個事件協調組專門負責這個,如果有必要的話,就再擴充人力,我也利用這個場合再跟媒體記者說一次,資安院不只是數位部的資安院、我們也是全民的資安院,希望今天藉由媒體記者的報導,讓更多企業知道加入 TWCERT/CC,可能帶來一些方便的地方,讓資安院包含我本人、250 位的資安院同仁有替企業服務的機會。
-
唐鳳我還是回應一下不能拿棒子的部分,個資法修延之後,這句話可能不能這麼適用,當然資安事件當中分成相當多不同的資安事件,但是在個資的相關事件上,雖然是用的是個資法,這兩個是適用的,但是因為不管是獨立的個資會或者籌備處,目前跟我們資安院非常緊密合作,在重大事件、行政調查等等,理論上在個資法上行政調查時,拿棒子的並不是我們,而是目的事業主管機關、地方政府或者獨立的個資會來督導他們,但是實務上真的派去的專家就是 TWCERT/CC 或者是資安院。
-
唐鳳我想我們在這個過程中,並不是完全沒有類似行政調查、督導跟稽核,而是概念上在這些行動上是未來獨立的個資會或者現在的目的事業主管機關來帶頭,但是實際上我們的人,因為行政法人在執行這些相關公務事情的時候,是比照公務員的,所以可以進行這方面的工作。
-
唐鳳還有另外一個好處,在進行這樣的工作的時候,有吸取一些通案性的教訓等等,或者通案性在源頭可以改正的,就像我剛才所說的,可以透過 TWCERT/CC 的會員、透過軟性的方式,如果不想變成下一個,可以考慮導入這樣的系統,希望有回答這個問題。
-
-
何全德科技業是其中一個,除了科技業以外還有其他我剛剛講的無店面商業同業公會,還有我本人親自邀請無店面商業公會的秘書長來資安院交流,現在已經建立聯絡管道,包含高階主管,也由院長我親自跟他們說明,除了高科技的產業以外,還有包含無店面商業公會,還有剛提到的 Ciso 的資安主管聯盟,會員也不只是高科技,也有可能包含銀行、醫療,我剛講說沒有法,除了剛講的個資會處理的角度以外,我覺得很重要的是,部長一直要我做的事是資安院主動要去跟部會連結,所以我們也跟衛福部的醫事司、資訊處有非常好的溝通連結,我們剛講到必須要透過供應鏈的角度。
-
何全德我再補充一下,也是部長指示我做的,我跟教育部資科司也進行相關的鏈結,因為教育部資科司負責學術的網路,所以我剛講說經由部長這樣的政策,就打造另外第九項的關鍵基礎設施,包含教育體系、醫療體系,還有很重要的,資安院過去跟金管會有很好的關係,我們也正在安排,請蔡主秘跟劉處長與我們鏈結。
-
何全德所以,各位看得到部長將這個任務交給我們以後,很重要的是鏈結、再鏈結,服務、再服務,我想這部分資安院被賦予這樣的角色,大家對於怎麼樣公私合作、聯防來保護數位臺灣的安全,都有高度的共識,當然這個部分交給我們三個月,但是方向、策略跟所有的工作都在持續進行,假一段時間以後,對於這個會員,已經課予孫主任要把會員的數目擴大,如果沒有達到績效標準,就請他不要來上班了(笑),我要給我們同仁這樣的壓力,然後把過去二十幾年來在政府機關,累積的經驗、技術、情資,我們通通毫無保留要分享給民間企業。
-
-
-
何全德這不列入績效考評標準,我有給孫主任定一個目標,希望在年底之前可以以 1 萬家會員為目標,目標是這樣子、但也要講究方法,只有靠資安院是不夠的,部長一直在分享他的經驗,教導我們鏈結,所以我剛提到我跟金管會、教育部合作,我跟數位產業署合作,下一個我想跟工程會合作,工程會透過採購系統,怎麼樣供應政府相關的資訊、資安的廠商,及其他的廠商也能夠加入到這樣的會員,下次會找機會安排工程會會面。除了政府機關以外,當然很重要的是透過國內幾個重要的供應鏈來保持互動。
-
-
-
-
何全德剛剛提到孫主任可能晚上會睡不著覺,我想立這個目標來努力,從供應鏈角度、會員角度來看,是可以的。另外要補充的,我們今年也拿到 Google.org 的贊助計畫,我們希望可以擴充到 3,000 個中小企業、微企業跟社會創新企業,那個也是我們透過這樣的方式希望來努力的地方。
-
唐鳳因為工程會大家知道從去年底跟我們非常緊密一起合作,在政府資訊服務採購的革新,特別是把資安入規是新的部分,這個規範不是一簇可及,是逐漸來達成,但是在過程中,只要做政府資訊服務相關的廠商,之後會有非常明確的,甚至 SLA,就是供應服務中斷可容許程度等等,這些部分大概都會有明確的定義跟相應的價碼,要怎麼樣達到這些,需要的不只是傳統上我們資訊服務去驗收等等,而是在最前端的韌性,就要用一些可用性比較高、易用性比較高等等元件。
-
唐鳳這部份,如果資訊服務的承商也加入 TWCERT/CC 的話,資安院自行研發的這些系統,也可以做相關的技術轉移,甚至是透過 Public code 等等的方式,因為我之前也有跟院長期勉其實有一些是要整個行業都採用才發生價值的,類似技術標準的東西,這個我們去收授權金其實是沒有意義的事情,不如都等大家都採用韌性、強度比較高的元件之後,真的需要服務了,再按照每個小時收顧問費,可能還比較容易一點,這點我想也是接下來資安院在面對 TWCERT/CC 會員及民間的另外一個重點,也就是主動開發出來一些技術、相關元件來進行分享跟導入。
-
iThome目前的接手狀況是已經完全接手完成了嗎?因為我在今年 1 月的時候剛好有問到 TWCERT/CC,當時 TWNIC 有提到一些問題只能他們回答,因為我問的是去年的東西,現在的時間點並不是全部交接完。
-
-
何全德另外可以補充的是,一段時間以後也不能只靠 TWCERT/CC,我們未來有一個想法,我們去幫每一個重要的供應鏈體系,去建立他們自己的 CERT,讓企業先聯防,我在半年把各個體系串連在一起,這樣說不定會更快,這個是列為未來很重要的計畫。
-
發布單位:數位發展部
建立日期:2024-04-24
更新日期:2024-04-24