【第一屆Web3資安論壇】數位發展部部長唐鳳:數位部扮演大沙盒角色,引領各行業強化Web3資安防禦力
「迎接數位時代的挑戰,數位部作爲各行各業的mòda(馬達)擔任溝通平台,我們産業署底下也有相關的創新産業資料管理應用計畫,這都是運用分散式帳本的Web3技術推動資料信任、資料治理及完善資料生態。我們數位部希望以身作則,示範技術的可行性,持續爲産業扮演大沙盒的角色,引領各行各業導入Web3新興技術。」數位發展部部長唐鳳,在第一屆Web3資安論壇中表示。
分散式自治組織(DAO)的出現,改變傳統網路的中心化結構,賦予使用者對自己的內容、資料擁有自主權;並且在進行交易的時候,所有錢包的操作就可以透過數位簽章,也就是運用私鑰簽名、公鑰驗證的形式,確認交易是由本人發起。
正因為Web3具有去中心化、不可篡改、可追溯等特性,各種各樣的資安攻擊形態開始出現。唐鳳列舉出資安攻擊的形式,像是設計假冒的應用或網站,誘導使用者透露自己的資料;或是不經意的流程簽署敏感資料,進而無意間把自己的數位資産轉移給其他人,這些都屬於因惡意駭客攻擊或詐騙行爲,而導致的資產損失。
身為防禦端,該如何培養資安風險的識別能力?唐鳳接著指出,「運用新興科技針對數位資産跟文件進行追蹤、紀錄,實際用法像是金融領域就有有保險理賠金支付、貿易融資等應用;不過更重要的是,培養組織內部人員的安全控制意識,特別針對專業人才的培訓,藉此提升風險素養,強化及時應對威脅的能力。」
最後唐鳳也提到,數位部以政府機關名義正式加入全球網路標準的國際組織「全球資訊網協會」(W3C)成為正式會員,未來將極參與國際接軌。今後數位部也將持續倡議零信任概念,幫助更多人了解如何透過新興技術,面對全球新的資安威脅;並且提升我國資安防護水準,讓各行業意識到,資安即是持續精進風險管理的重要手段。
資安的共識:資安對數位科技的重要性
資安對數位科技的重要性越來越重要,尤其在萬物聯網的環境之下,數位發展部資安署副署長林春吟提到,對於數位服務提供者,勢必要更重視資安議題。不過要讓資安意識、行動邁向法制化,林春吟接著簡單盤點我國資安政策一路走來的相關進展與里程碑。
首先是在民國87年開始擘劃電子化政府,民國90年成立行政院國家資通安全會報,以行政院副院長擔任召集人,並由國安局、部會與直轄市首長擔任委員。國家資通安全會報的架構分成「網際防護體系」與「網際犯罪偵查體系」,前者就是數位部資安署所指掌管的任務。
接著林春吟分享國資安推動的幾個重要進程,從2001年開始展開第一期機制計畫,這個階段最重要的任務是完成政府機關分級制度,相關工作包含界定分級標準,以及推動資訊安全管理制度及認知推廣。每一期計畫共執行四年,重要的里程碑是在2017年的第五期發展,成功推動資通安全管理法,進一步完備國家資安聯防體系,這一期的績效包含落實A級機關資安治理成熟度及推動「資安產業發展行動計畫」。
至於資通安全管理法有哪些修法重點方向,林春吟點出三個關鍵指標。第一是主管機關的調適、第二是擴大稽核範圍、第三點是強化特定非公務機關資安管理,並擴大納管對象。除了法規涉及的機關權責,對於非資安法所納管的對象,林春吟也提到建議可以加入「台灣電腦網路危機處理暨協調中心」(TWCERT/CC),這個組織主要任務在推動企業資安事件處理、產品資安漏洞通報等。
「TWCERT/CC網站上面有提供勒索軟體威脅防護專區、遠距辦公資安專區、以及企業資安事件應變處理指南等資源,」林春吟最後強調,TWCERT/CC服務範疇幫助產業、企業營運者對資安事件通報有更好認知,藉此強化資安聯防作業,有助於達成早期預覽、交流合作、資安推廣、以及事件協調等正向循環及效益。
資安的共榮:引領區塊鏈產業應用向前行
至於要讓區塊鏈產業達到共榮局面,數位發展部產業署副署長林俊秀首先盤點,區塊鏈的應用面的發展脈絡,從1.0處擬貨幣運用、2.0智能合約使用、如今3.0去中心化網路系統,凸顯區塊鏈產業應用更廣泛應用於金融以外的各項領域。
不過當資安碰上區塊鏈,可信任的資料治理更顯重要。林俊秀提到透過區塊鏈特性推動可信任資料治理方面,數位產業署主要投入的工作內容,包含打造以「存證、取證、驗證,實現全流程留痕」為目標,協助各行業將關鍵資料封存到跨產業聯盟鏈上,保存資料的產出時間、來源典交換過程,作為發生糾紛時的數位電子證據,有效達到降低風控成本,打造跨領域、跨企業的互信商業環境。
林俊秀接著分享,數位產業署目前與多個公協會合作,推動資料信任服務先導實證,包括TMICA北市醫材公會、TeSA電子商務聯誼會等。另外,數位產業署也透過大型展示活動與業者落地實證分享,展示資料信任服務結合各垂直領域情境。
展望未來,林俊秀提到數位產業署也將在遵循產業各主管機關的政策下,以資訊服務整合資安為重點輔導項目,全力扶植台灣軟體產業發展。另外也將持續推動區塊鏈和其他數位技術的應用發展,促使數位轉型落實到各行各業當中。