最近勞動部勞動力發展署發生不幸的職安事件，一位負責資訊業務的公務人員輕生，引起社會輿論撻伐，勞動部部長下台！媒體披露的內部檢舉資料，直指北分署長的領導風格造成的職場霸凌，揭露了官場包庇徇私的惡質文化，同時也暴露政府體系資訊人員之人力編制與業務負荷的嚴重失衡，該員長期單獨作業，並無同事可相互支援，導致工作壓力過大，加上主管的管理不當而選擇輕生，讓國家損失了一位盡責的公職人員，實在令人痛心！

 

每當有事涉人民生命財產等有形的損害事件發生，大家會即時有「感同身受」的切膚之痛，而無聲無息的資安事件時時發生，造成的無形傷害，卻沒得到適當的關注，本文希望呼籲政府、企業、以及民眾加以重視。

 

網路世界裡，若關鍵基礎設施（如電力網、交通運輸等），一旦遭駭客攻擊而癱瘓或中斷，會直接影響人民生計，以及政府運作，造成社會不安，打擊人民對政府信任，因而被列為重大資安事件。而幕後主導者往往是國家層級的駭客組織，攻擊手法高深，追緝不易；反觀民間企業遭遇的駭侵，包括營業機密與個資的竊取，資料庫的加密勒索等攻擊，則多半屬組織型「黑帽」駭客所為，利用公開漏洞CVE的修補時差、或零時差Zero Day攻擊，以詐取錢財、打擊企業聲譽與市場競爭力為目的。民間企業受到加密勒索攻擊，為避免營運中斷造成的損失加劇及公司信譽受損，時常是冒著可能觸法（資恐防制法）的風險，支付贖金解決問題。讓駭客輕易獲取不當利益，反而招引更多駭客攻擊台灣企業，而落入變本加厲的惡性循環。另一類的資安威脅，則與地緣政治相關，尤其是中共國Communist China透過網路社群進行「心理戰、輿論戰、法律戰」，由在地協力者，在台灣散佈謠言，分化社會、製造恐慌，甚至以《反分裂國家法》及《國安法》在全球各地展開獵狐行動，抓補異議人士等，使得數位環境的安全與防護亮起了紅燈，讓民眾暴露於資安風險之中。

 

2018年資安管理法公佈實施之後，政府部門的資安防護體系，依序落實中。在資安事件的威脅監控SOC，通報應變CERT，情資分享ISAC上，區分為國家層級、領域/區域層級、以及關鍵基礎/機關層級，組織架構之防護體系甚為完備。由於私人企業並非資安法的監理範疇，目前僅由台灣電腦網路暨協調中心TWCERT/CC負責與民間企業進行資安預警、事件通報/協助應處、以及情資交換與回饋。但TWCERT/CC的人力與資源有限，如何能協防超過150萬家中小企業，應對強大組織型黑帽駭客之威脅，以及和國際相對應之組織進行交流？政府雖對業界提供協助培訓資安人才，但資源畢竟有限，產業的資安防禦與韌性有賴民間建立自我防護量能、提升韌性，亟須規劃建置公私協力的聯防體系。

 

資安治理體系，除了技術面積極建構縱深防禦外，仍需完善組織的資安管理制度，而政府亦須盤點資安法規，提出完整的配套措施，協助私人企業提升資安韌性。公部門已有資安法的規範，而私部門卻只有金管會的金融資安行動方案，對上市櫃公司的資安治理有詳細規範與準則，資安事件必須發布「重大訊息」保護股東權益。非金管會監管之公司行號，僅有零星法規，如個資法等。一般企業遭遇網路駭侵，往往擔心受到行政調查或面臨刑法訴訟風險，多半不會主動通報而選擇隱匿，自謀解決之道。但若沒找出真正「禍因」，予以根除，無法防堵類似事件不再發生。

 

因此，建議民間企業透過行業公、協會，建立起「資安互助，產業聯防」體系，設置行業/區域層級的通報應變及情資分享中心，以強化資安事件通報與應變量能。例如，軟協的「資安韌性促進會」，可扮演整合國內資安技術團隊角色，透過分工合作，建立「資安技術聯盟」，提供企業或政府所需之資安技術諮詢與支援服務，而「資安長聯誼會」的金融業、製造業、醫療業、電商零售服務業等行業SIG，可扮演威脅情資分享角色，協助事件之應變處置，鼓勵企業主動通報資安事件與預警，以保密方式和技術聯盟合作，建立起可信賴的「互助」機制，優先解決資安問題，再協助診斷並找事件根因，適時通報TWCERT/CC等業管單位，以案例方式分享其他SIG，達到「產業聯防」的目的。

 

(本篇文章轉載於今周刊專欄)