唐鳳部長:期許公私協力聯防 共同建立堅韌、安全、可信賴的智慧國家
數位發展部唐鳳部長今(21)日出席CYBERSEC 2022臺灣資安大會,以大會主題「數位轉型、資安升級」做專題演講。唐部長表示,資安是持續精進的風險管理,需要大家一起投入,同心協力,才能完善防護網,不論是政府或企業、民間組織或個人,都能秉持聯防與協作的精神,共同建立「堅韌、安全、可信賴的智慧國家」。
唐部長在演講中,首先透過自己的小故事,分享資安觀念中「最小特權原則」(Least Privilege)的概念。
唐部長說,數位部8月27日掛牌後不久她就確診了,居家隔離期間她沒有請假,照常辦公,因為疫情是建立零信任架構(Zero Trust)最好的道路。當她隔離期滿回到辦公室時,同仁正在做門禁系統自動連接打卡系統的串接測試,她發現自己登入門禁系統後,竟然擁有管理員權限,她因此向同仁反映「我可以維護你的資料,這好像那裡怪怪的」。
唐部長指出,這其實是個有趣的場景,因為在零信任登入系統中,她沒有這類特權是最標準的作法,但有時可能因為她是部長,就設定給她某些特權,但一來她不是資訊處人員,二來也不是維護系統人員,給予她特殊權限並不合理。在她反映後,同仁隨即修正門禁系統,拿掉她的管理員權限,遵守「最小特權原則」。
唐部長以這個例子強調,資安必須隨時落實在每個人身上,就好比戴口罩與勤洗手一樣,需有良好的風險管理,隨時意識到自己有可能是破口、成為一種風險,這也正是數位發展部強調全民數位韌性的「全民」意涵。
唐部長指出,強化數位韌性不是只有臺灣在做,全世界也都非常關注,根據世界經濟論壇(World Economic Forum, WEF)「111年全球風險報告」統計,因COVID-19 疫情對全球所造成的影響中,科技類型風險以「網路安全失效」(Failure of Cybersecurity Measures)最高,包含惡意技術利用、技術治理失靈、數位權力集中及IT基礎架構失效等等。
唐部長表示,為因應資安風險,我國在2021年2月發布的第六期「國家資通安全發展方案(110年至113年)」,以打造堅韌安全的智慧國家為願景,訂出三大政策目標,分別是「成為亞太資安研訓樞紐」、「建構主動防禦基礎網路」、「公私協力共創網安環境」,並從「培植自主創研能量」、「提升關鍵設施韌性」、「主動抵禦潛在威脅」及「提升民間防護能量」等四大推動策略著手,透過培育資安人才,強化關鍵基礎設施防護等措施,最終透過公私協同合作,共同打造安全堅韌的智慧國家。
唐部長最後強調,數位發展部整合資訊、資安、電信、傳播、以及網路等五大領域的業務內容,資通安全署將強化國家整體數位發展環境的資安防護、提升數位政府整體安全,並進一步推動關鍵資訊基礎設施的防護升級;數位產業署則會積極推動各行各業數位轉型,讓既有產業增加韌性、提升效率。