自由時報APP
看新聞又抽獎

立即下載

TOP

自由共和國》李忠憲、林盈達、林宗男/ 資安管理法:關鍵基礎設施

2017-08-28 06:00

李忠憲/成大電機系教授、林盈達/交大資工系特聘教授、林宗男/台大電機系教授

關鍵基礎設施對每個人來說都非常重要,一旦不能正常運作,許多人的生活會受到影響,甚至生命財產會受到嚴重的損害。一般而言,關鍵基礎設施包括能源、電信、交通、醫療、水利、金融與保險等領域。德國資訊科技安全法在二○一五年七月二十五日正式施行,並且在二○一六年五月三日通過聯邦資訊安全局的行政命令(BSI-Kritisverordnung)把約兩千家關鍵基礎設施的企業納入資安管理。今年再度把約九百家企業納入名單,增加的企業主要在金融、保險、醫療和交通方面,德國聯邦政府要求關鍵基礎設施的營運商,要滿足資安的最低標準,必須強制向資訊安全局通報資安事件。資訊安全局要對關鍵基礎設施營運商的資訊進行評估分析,並提供給營運商彙整改善,以提高關鍵基礎設施的資安保護。

在八一五大停電之後,國人皆為台灣關鍵基礎設施的脆弱感到憂心,目前資安管理法已經在立法院通過一讀,是下一個會期的優先法案。但外界有許多的批評聲音,首先是關鍵基礎設施的範圍,有某些專家學者認為這個法不應該納入關鍵基礎設施(CI, Critical Infrastructure),只要納入資訊關鍵基礎設施(CII, Critical Information Infrastructure )即可。甚至有人認為不需要納入任何關鍵基礎設施,因為關鍵基礎設施的資安治理包括民間廠商,對民間公司做行政檢查,是白色恐怖,所以只應納入公務機關,民間廠商不應該納入本法的範圍。

因為中油的疏失造成全台大停電,顯示台灣當年以反攻大陸復興基地為建設指導綱要之下的關鍵基礎設施非常脆弱。在這樣的背景之下,面對駭客的恐怖攻擊,加強實體及系統的資安標準作業程序的落實,可以降低風險,因此資安管理法納入關鍵基礎設施是種負責任的做法,也符合現代資訊化國家資安法律的需求,許多歐美國家在資安治理上都納入關鍵基礎設施,這是資安的世界潮流,資安是關鍵基礎設施重要的一環。

目前的爭議在於資安管理法是促進資安,還是擾民增加民間企業無謂的負擔?關鍵基礎設施的台電無法供應電力,受害的主要不是台電,而是一般的社會大眾或其他用電的企業,當這個設施發生資安事件無法運作時,一般的民眾和企業利益會受到傷害。對於本法所稱的行政檢查乃是資訊安全措施的檢查,其目的在確認公司具有一定程度的資安能量,類似消防檢查的資安稽核和通報,不應被無限上綱為隨時隨地檢查的白色恐怖。為了公眾的利益有必要把關鍵基礎設施的廠商納入管理,要求其預算有一定比例的資安投資,資安防護有一定的水準。

資安管理法為什麼會引起爭議, 有兩個原因,第一個原因是太強調處罰,尤其通報的部分。企業對於資安事件的通報常常面臨某些困境,資安事件會影響企業的商譽,跟罰款比較起來,公司商譽的價值遠遠超過這個數字。通報施行起來,實務上並不容易,由資訊分享分析收集中心(ISAC)可能更容易達成原本的目的,尤其目前尚未成立資安消防隊,若企業在遭受攻擊時,如果通報資安處可以得到協助,根本不需要強制裁罰,也可以得到相同的目的。對於一般民眾而言,資安類似消防,檢查、通報和稽核之外,更重要的工作是當駭客攻擊發生的時候,要能夠像火災發生一樣,派出資安消防隊協助企業度過危機。

其次是關鍵基礎設施納入控管的名單。若採用國土辦所設計的八大領域,許多政府單位可以建議納管名單,這樣的方式打擊面太大,不是很合理。主管機關的政府單位資安能力不足,可能因為害怕或種種原因利用這項法定建議權力造成某種寒蟬效應,或是沒有納入真正需要管理的關鍵基礎設施名單。建議行政院資安處應該勇於任事,納入關鍵基礎設施控管名單應由該處提出且經由行政院核定。尤其在立法之時,應該就要有這個納入關鍵基礎設施的名單,考慮資安能量,這個名單應該要合理,依國家安全考量之下的資安協助納管,按照優先順序,只納入最重要的那些關鍵基礎設施廠商,然後在執行一段時間之後再考慮資安能量,務實檢討此一名單。

現代網通社會資訊安全與一般民眾息息相關,以最近世大運為例,開幕典禮的網路轉播非常順暢,台北市資訊局等單位相關的準備和規劃良善,其中負責轉播的工作當然也包括資安團隊。資訊安全已經變成現代化國家關鍵基礎設施的一環,將關鍵基礎設施納入政府的資安治理是正確的做法,但是一定要務實考量既有與擴充中的資安能量,不能好大喜功包山包海,想要一步到位,而導致一步也跨不出去,這樣就太可惜了。

已經一讀的資安管理法是一部進步的法案,但是並不完美,我們認為應該加強獎勵的部分,尤其對納管的企業提供資安消防隊的法定協助,由資安處負責考量重要性及資安能量,報請行政院核備的方式,逐年擴大列入關鍵基礎設施企業,避免目前以國土辦的方式進行,以免在資安量能不足之下,造成相關業者人心惶惶,而且無法落實強化資安的立法美意。

《自由共和國》強力徵稿

《自由共和國》來稿請附:真實姓名、身分證字號、職業、通訊地址及戶籍地址(包括區里鄰)、夜間聯絡電話、銀行帳號(註明分行行名)及E-mail帳號。

刊出後次月,稿費將直接匯入作者銀行帳戶,並以E-mail通知。
文長1200字以內為宜,本報有刪改權,不願刪改者請註明;請自留底稿,不退稿;若不用,恕不另行通知;請勿一稿多投。

《自由共和國》所刊文章、漫畫,將於 「自由電子報」選用,不另外奉酬。
Email:republic@libertytimes.com.tw

新聞送上來! 快加入APP、LINE好友

iOS

Android

APP下載

LINE好友

快加入!新聞送上來!

iOS

Android

LINE加入好友

已經加好友了,謝謝
歡迎加入【自由評論網】
按個讚 心情好
已經按讚了,謝謝。