上個禮拜五（8日）的中午，「立法院數位國家促進會」很榮幸能夠邀請到台灣網路治理權威吳國維老師為我們演講。

 

 

吳國維老師表示，《資通安全法》最大的錯誤在於，以為疆界是可以被圈出來的，是可以以傳統方式來管理的。事實上，除了少數極權國家，網路治理超越傳統國家疆域之界線，必須以更新的思考與協調才能面對問題，處理問題。

 

以這部《資通安全法》草案，業者只要放棄在台灣設立辦公室，在國外經營服務，便能繼續服務台灣消費者。由此可知，台灣在建構數位經濟的未來，不適當或錯誤的《資通安全法》之訂定，勢必牽動台灣的資訊安全以及台灣未來的數位經濟發展以及可能的就業機會。

 

如果沒有謹慎看待，台灣的損失將大於獲益，甚至創造更多的資安漏洞。因此，我們應該認真地逐條來思考《資通安全法》草案條文的影響與衝擊。先前行政院版本的《資通安全法》草案犯了以下幾個可能的錯誤：

 

• 處理關鍵基礎設施的重點在於合作、協助降低風險，而不只是處罰

 

在資訊世界，政府必須認知：「網路空間沒有 100% 的安全，只有如何面對風險、降低風險或者分散風險。」資訊世界裡，網路攻擊（善意與惡意）幾乎隨時在發生。

ej0

若政府只想以傳統由上對下的監管態度、要求「粗糙」的通報程序，甚至想透過「延遲通報」就要處罰來提高資訊安全。這根本是錯誤的方向，只會讓資安漏洞到傷害數位經濟發展。因此如何提升對於資訊安全風險的認識，是當務之急。

 

• 草案中以及過去多年來的「關鍵基礎建設」過於攏統

 

從過去多年來的經驗，我們認為行政院版《資通安全法》草案中的「關鍵基礎建設」不夠準確與務實。

 

真正的關鍵基礎設施必須能被證實以下幾點：

 

（Ａ）「單點故障」（Single Point Failure），若該處不是單點故障，出事還有其他點可以取代，就必須再次確認還有哪些因素才能構成「關鍵基礎設施」。

 

（Ｂ）關鍵基礎設設施若故障，其影響與衝擊必須廣泛而深遠，若該設施故障影響衝擊不大，就必須再檢討，還有哪些因素能構成其為「關鍵基礎設施」？

 

（Ｃ）執行資通安全的主管機關必須統一，不能如同個資法，把主管機關散到各單位去，群龍無首。

 

（Ｄ）以台灣目前資安防護能力與資源狀態，關鍵基礎設施不宜過多，而且必須列出優先次序。在資源與設施多寡之間必須有合理比例，否則等於「沒有防護」，而且防護必須具備該關鍵基礎設施之專業能力，只靠學術理論或者粗淺的言論無助於改善關鍵基礎設施的防衛。

 

（Ｅ）被定義出來的關鍵基礎設施，不能以長官對下屬的態度，更不能只想要透過處罰來解決（除非證實犯了重大已知的錯誤），反倒應該透過對話、協助、提供資源的太多來面對真正的關鍵基礎設施。

 

• 多年來的所實施的「稽核」方式已經證實無助於資訊安全的提升。

 

每一個關鍵基礎設施都牽涉到不同的產業環境，都是一個複雜專業的領域，目前稽核員的配置太過於偏重在資通訊領域，如此的稽核方式，容易造成雙方困擾而徒勞無功。

 

• 根本的第一步，應該是推動公務行政體系的大改造

 

面對牽涉如此廣泛，且涉及概念更新，我們需要更明確的治理與管理機關體系，尤其是跨領域、跨部會的合作尤其必要。至於在人才培育上，必須重視整個體系與環境的準備，否則訓練出來的資安人才無法在社會環境中生存發展，這樣的人才培育必然會發生事倍功半的問題。

 

 

這次講題訂定在民間給予《資通安全法》草案的意見上，吸引到超過 10 個「立法院司法法制委員會」委員與「立法院數位國家促進會」委員辦公室的夥伴參加。特別是尤美女委員，長期對《資通安全法》草案的關心與認真審查，十分令人感動。

 

「立法院數位國家促進會」會長余宛如委員對於能有這麼多委員、國會助理在乎《資通安全法》草案，表示欣慰。也期待在接下來《資通安全法》草案審查中，能夠吸引到更多人對於草案的關注。