未來10年新興科技將帶來更深的資安風險,台灣準備好面對資訊戰的威脅嗎?

未來10年新興科技將帶來更深的資安風險,台灣準備好面對資訊戰的威脅嗎?
Photo Credit: shutterstock.com/達志影像

我們想讓你知道的是

「台灣準備好了嗎?」還沒有。但台灣一直在準備,需要我們全民有資安意識的持續參與。

文:蔡其達

俄羅斯總統普亭2月21日發表了長達近一個小時的電視演說,透露了他重回舊蘇聯輝煌、重建歐洲乃至全球權力版圖的雄心。2月24日清晨基輔遭遇俄羅斯空襲,俄烏戰爭正式打響。

現代戰爭的第一線──資訊戰

俄烏戰爭是一場「混合戰」,資訊戰在正式開戰前就已經打響了。事實上,自2014年俄羅斯佔領克里米亞以來,資訊戰就從未停止過。換句話說,烏克蘭已經打了一場沒有砲火的「8年抗戰」資訊戰。

基於俄羅斯入侵烏克蘭的不公,加之聯合國大會於3月2日以壓倒性優勢通過了「譴責俄羅斯入侵」決議案,全球最大駭客組織匿名者(Anonymous)也透過Twitter表示要對俄羅斯政府發起一系列網路戰。其中匿名者駭客組織之一NB65已癱瘓俄羅斯航太局,切斷其與自家間諜衛星的聯繫。

匿名者還聲稱駭客攻陷俄羅斯「聯邦勞動與社會保障部」和俄羅斯「經濟發展部」網站,洩漏了其資料庫資料,並癱瘓了超過1500多個與俄羅斯/白俄羅斯政府、官方媒體,以及主要銀行企業網站。

國內在俄烏戰爭期間一個討論的議題是「今日烏克蘭,明日台灣」。雖然許多人認為台海局勢與烏克蘭不同,我們有台海屏障、護國神山等客觀條件,然而在網路世界(Cyber World),本質上並沒有太大區別。

相互依存的世界伴隨著衍生的資安風險

新興資通訊科技固然為人類帶來生活的便利,然而伴隨而來的卻是衍生的資安風險,其對於民眾生活、經濟活動及國家安全的影響將與日俱增。

近年來,關鍵基礎設施的保護議題,已逐漸成為各國所重視,主因在於關鍵基礎設施之防護完備與否,攸關國家安全、政府運作、人民生活、經濟發展與永續生活。依據行政院103年12月23日頒布之《國家關鍵基礎設施防護指導綱要》,我國關鍵基礎設施(CI)分類包括:

  1. 主部門:分為能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八類。
  2. 次部門:依主部門重要元件之屬性再區分次部門,例如能源主部門下再區分電力、石油、天然氣、化學與核能材料等次部門。
  3. 重要元件設施:維持設施營運所必須之重要設備、運作系統、通訊系統、維安系統,以及重要資訊系統或控制、調度系統等。

各種關鍵基礎設施系統,只要牽涉到設備連網,加上採用開放技術架構,都會面臨資安風險。一旦遭受有心人士惡意攻擊,將嚴重影響基礎設施的持續運作。

去年5月美國最大燃油管線營運業者「殖民管線公司」(Colonial Pipeline)遭遇來自俄羅斯的「黑暗面」(DarkSide)的犯罪駭客幫派發動勒索軟體攻擊後,營運於5月7日停擺。「殖民管線公司」負責輸送美國東岸各地使用約45%燃料,營運停擺導致燃油供應不足,油價更因此而上漲,讓美國於5月9日宣布進入緊急狀態,破例讓燃油業者透過一般道路運送燃油。

shutterstock_1095422036
Photo Credit: shutterstock.com/達志影像

未來10年新興科技帶來更深的資安威脅

「人工智慧來了」在21世紀的今天,AI人工智慧的應用已漸漸滲透各行各業與日常生活中。目前國內許多大學追著這一波潮流,如成大、清大成立人工智慧學程,台大、交大設立人工智慧碩士班。但是,這些課程多著重於系統、應用或晶片,鮮有針對資安領域加以著墨。底下略舉資通訊技術發展的幾個主要趨勢,以及他們與資安的關係:

  • AI民主化

所謂AI民主化,是希望透過雲端運算服務,並簡化AI工具,讓AI技術可以快速普及。也就是說,降低進入門檻,讓AI不再是只有少數企業可以使用的技術。

以前寫電腦程式是資工系學生的專長。現在透過雲端運算服務,提供了各式簡化工具,一般人也可以創造出有趣的應用來。比如,馬斯克於2015年創立的OpenAI組織,通過與其他機構和研究者人員「自由合作」,向公眾開放專利和研究成果。其中OpenAI Codex可以透過自然語言描述,自動產生程式碼。

換句話說,就資安領域而言,惡意攻擊者運用神經網路降低生成新型或高度可變的惡意軟體的成本,只是時間問題而已。這也使得資安防禦人員必須研究如何利用感知神經網路來更好地檢測惡意程式碼。而這樣的能力,在我們多數學校的人工智慧學程中是欠缺的。

  • 軟體定義(software-defined)下的系統虛擬化

何謂虛擬化?簡單的說,虛擬化技術是一種以軟體的方式進行實體資源(包含硬體或軟體)配置與優化的架構。以抽象化(Abstraction)的方式呈現系統的各式服務。主要的虛擬化類型包括:伺服器虛擬化、網路虛擬化、儲存虛擬化,和桌面虛擬化。

虛擬化能將昂貴的硬體資源做更有效的運用,在5G與雲端運算中已是不可逆的趨勢。但虛擬化系統一旦發生問題,卻也更不容易偵錯。因為在效率的原則下,出問題的虛擬元件並不會一直存在那兒等著被偵測到。

一個安全方案的完整性、有效性,很大程度上取決於其每一個個別組件的安全性,包括虛擬機管理程式(VM hypervisor)或容器編排器(Container Orchestrator)、伺服器主機和主機作業系統、宿客作業系統(guest OS)、應用程式和存儲設備或系統。

由於單一管理程式可以託管許多大型組織或企業網路服務器的虛擬機或容器,如果虛擬機管理程式或容器編排器被入侵了,相關受管的虛擬機或容器就都會受影響,包括關閉運行中虛擬機或容器,加密虛擬硬碟驅動器和在管理程式上的配置檔。

  • 遠端工作

為了應對COVID-19,許多企業廣泛採取了遠端辦公模式以降低群聚與通勤的感染風險,而網路犯罪分子也藉由這一波疫情發動攻擊。

由於遠距工作或居家上班對各種通訊、線上會議軟體與網路等之依賴程度更高,導致了資安挑戰的增加。除了公司無法管控遠距或居家的工作環境外,使用遠距管理工具如Windows RDP(遠端桌面協議Remote Desktop Protocol)或其他第三方服務或應用程式(如VPN或Microsoft Exchange),都讓駭客恐更容易利用第三方程式造成的漏洞來盜取資料,將企業內部資訊暴露於風險之中。

展望未來,即使在疫情過後,遠距工作或上學也可能成為一種「新常態」。

疫情嚴峻  立法院演練遠端視訊表決(2)
Photo Credit: 中央社
武漢肺炎持續升溫,立法院21日首度舉行視訊表決演練,讓立委可以減少不必要的群聚及移動風險。 中央社記者王飛華攝 110年5月21日
  • 「共享經濟」的商業模式

1979年,李國鼎先生創立資訊工業策進會,推動臺灣的資訊科技發展。在那個時代,所有的軟體都是「單兵作戰」型,也就是說,對於一個單一應用程式,開發者必須自行從最底層開發到最上層。

筆者畢業後第一份工作是在瑞士IBM研發部門做R&D(Research & Development),也就是俗稱的「研發」。幾年後遇到過去研發部門的同事,他說現在IBM不做R&D了。那做甚麼呢?做C&D (Connection & Development)。的確,資通訊產業過去變化太大太快了。要加快創新產品上市,不能全靠自己,而是尋求對特定領域感興趣的夥伴,採取合作策略。

其中一個創新的「典範轉移」便是雲端運算。我們都知道它的三種服務模式:軟體即服務(SaaS)、平台即服務(PaaS)、和基礎設施即服務(IaaS)。如同「共享經濟」一般,使用者可以依需求(on-demand)租用,而不需要自己開發或購買。

大多數人接觸到的最常見的雲端運算服務是SaaS(Software-as-a-Service,軟體即服務),這種服務型式是透過網際網路,由服務供應商來提供特定軟體服務。近年資安領域也以這種方式,建立了勒索軟體的「生態系」,即所謂的「勒索軟體即服務」RaaS(Ransomware-as-a-service)。而這一趨勢在未來的10年中還會繼續發展下去。

建構一套勒索軟體需要不同的技能,如跳板入侵、入侵後的權限破解、破解後的檔案移動或加密…。如果一套勒索軟體是由同一組人自行開發的話,往往會受限於其熟悉的攻擊手法,其特定的攻擊手法特徵也容易被辨識出來。

但在RaaS下,他們可以購買或租用不同的元件來創建多樣化的組合,這將使防禦更加的艱難。RaaS商業模式讓每個駭客都可以專注於他所熟悉的部分,不斷改進他們專精的元件,而透過「組合」建構整套攻擊套件。

RaaS模式降低了「進入門檻」。你我這些業餘者,都有機會透過公開資訊以及低成本,成為勒索企業的駭客。

蔡總統主持台灣資安大會啟動儀式(1)
Photo Credit: 中央社
2021台灣資安大會4日在台北南港展覽館2館舉行開幕典禮,總統蔡英文(左)出席,與經濟部長王美花(右)主持啟動儀式。 中央社記者鄭傑文攝 110年5月4日

資安即國安

推動資安不只是政府的事。

目前,政府在監管治理方面有《資通安全管理法》,從風險管理的角度對關鍵基礎設施進行規範和管理。在政府採購資訊相關設備的預算中,也提出了資安預算比例的要求。同時,除要求ABC級機關設資安長與專責人力資源外,對於國內產業,也將要求上市櫃公司依不同等級來設置,藉此推動產業對於資安的治理與文化。

徒法不足以自行。所謂「資安,資安,說起來重要,做起來次要,忙起來不要」。並不是大多數企業不重視資安,而是在業務運營中要做的事情太多,而資安總是在預算有盈餘的時候才去做。「資安作為」有沒有真正落實才是重點。

事實上,台灣每月遭受多達2000萬至4000萬次的境外網攻。這次俄烏戰爭,烏克蘭遭受的Wiper網攻,被發現埋藏3個多月才啟動。可見俄羅斯駭客潛伏已久,埋藏惡意病毒。而這樣沉默不顯、靜待時機發動的「數位定時炸彈」,中國駭客是否也在台灣埋藏不少呢?

「今日烏克蘭、明日台灣?」台灣也面臨中國這個強權國家的威脅。卻一再曝露系統性的弱點。例如2016年一名低軍階中士竟可以誤射雄三飛彈,擊毀距離海峽中線僅66海浬的作業中漁船高雄籍「翔利昇」;2022年,單一值班人員就可以開啟興達電廠「禁止操作」的斷路器,造成全台549萬戶大停電。

我們必須強化各項基礎設施的韌性。借鑒美國國土安全委員會《關鍵基礎設施資安防護法案》的加強關鍵基礎設施系統抵禦網絡攻擊的能量和技術,以幫助識別與工業控制系統相關的威脅,從而將國土安全部保護這些系統的工作任務法制化,並帶頭協調及處理跨關鍵基礎領域部門的網路安全事件。

在資安領域「一盎司的預防勝過一磅的治療」。我們需要經常演練,來發現問題並立即補破網加以修復。我們當借鏡烏克蘭「假日戰士」的非凡成就為榜樣,重新審視國內的「教召」制度,並建置資安區域聯防,共享資安情資,並如同「教召」一樣,定期資安教育訓練與經驗交流。打造台灣成一個多方面的韌性社會。

「台灣準備好了嗎?」還沒有。但台灣一直在準備,需要我們全民有資安意識的持續參與。

本文經思想坦克授權轉載,原文發表於此

延伸閱讀

【加入關鍵評論網會員】每天精彩好文直送你的信箱,每週獨享編輯精選、時事精選、藝文週報等特製電子報。還可留言與作者、記者、編輯討論文章內容。立刻點擊免費加入會員!

責任編輯:彭振宣
核稿編輯:翁世航


猜你喜歡


產學鳴笛出題,5G人才解題,共創時代讓新世代順利啟航

產學鳴笛出題,5G人才解題,共創時代讓新世代順利啟航
Photo Credit:TNL Brand Studio

我們想讓你知道的是

5G帶來的低延遲、高頻寬與多連結等特性,在產業上也創造出更多場景應用。但在打造場景背後,存在著不少需要被突破的技術與人才需求,此時,產學合作就成了重要關鍵,由產業出題,讓學生們得以在求學時期就先學以致用,才能快速掌握5G未來的致勝關鍵。

隨著基礎建設的逐步完備,5G頓時成了推動各式產業向前躍進的大浪,即便各式場景都將因5G而進入下一章,但也考驗著當前掌舵手從技術到場域整合的實力,這艘船應該怎麼順著5G浪潮航行,更凸顯產業對「有能力駕馭5G場景應用」人才的渴求。

對此,經濟部工業局也超前部署,為解決未來5G產業人才缺口,推動「5G+產業新星揚帆啟航計畫」,藉由企業對市場敏銳的嗅覺進行出題,攜手學子的創新與創意,以產學合作的方式讓人才有機會搶先跨入實戰場域,不只是學以致用,更能為研究計畫或職涯規劃帶入全新觀點。

今年,有不少加入「5G+產業新星揚帆啟航計畫」的實驗室與學生,透過計畫豐富的資源,在各自研究的領域上有了全新體驗。「5G+產業新星揚帆啟航計畫」經過密集聯繫了解後,找出三所各有特色的學校教授,作為本次訪談對象,其中包括:推動跨域人才的國立臺灣科技大學主任秘書暨電子工程系呂政修教授和科技管理所黃振皓助理教授;國立成功大學工程科學系綠能元件實驗室張御琦教授;以及專攻天線應用領域的國立高雄科技大學電訊工程系所天線及微波工程實驗室陸瑞漢教授。

資策會教研所_廣編圖表_(3)
Photo Credit:TNL Brand Studio

從推薦學生加入「5G+產業新星揚帆啟航計畫」後,教授們觀察到學生有什麼樣的改變?以及如何以傳道授業解惑的角度帶領同學成長?以下是本次《關鍵評論網》直擊各實驗室教授們對於5G全新世代的見解,也帶大家了解產官學如何方向一致的航行在5G大浪上,發現市場與需求的新契機。

鼓勵學生參與計畫,發揮創意接招產業出題挑戰

Q1:您對於經濟部工業局推動「5G+產業新星揚帆啟航計畫」的看法及觀察為何?

國立臺灣科技大學(以下簡稱臺科大)呂政修教授:這就像「試婚」過程。產業始終在面臨人才荒,若能藉由產學合作會是個好的開始,透過企業出題,尋求學界支援,讓業界培養未來所需人才,同時學生也能在步入職場前了解市場上正面對的挑戰及自我欠缺的技能,加速未來5G產業的落地應用,特別是也有機會培育出跨域人才,讓5G發展更加多元。

國立成功大學(以下簡稱成大)張御琦教授:我認為這是一個很棒的計畫。我們的學生在台郡科技股份有限公司業師的帶領下,發揮自己課堂所學,捲起袖子動手解決產業提出的挑戰,對技術落地、成本考量以及跨部門溝通都有大幅度進步,這是課本無法提供的寶貴經驗,並且產學合作的計畫中,讓學生能更快了解他們的所學究竟在解決未來5G產業的哪些問題,相當有意義。

國立高雄科技大學(以下簡稱高科大)陸瑞漢教授:就我觀察,這樣的計畫能發揮兩個不同價值,其一是率先掌握產業需要的技術研發、其二則是培育產業人才庫。我一直很鼓勵學生在能力可及下多參與這樣的計畫,目的是希望藉由產業合作過程中,減少產學之間的落差,特別是5G產業發展日新月異,需要更有韌性的學習態度才能因應未來各種挑戰。

JOHN4211

Photo Credit:TNL Brand Studio

左起為:獵戶科技股份有限公司柯承佑執行長、國立臺灣科技大學主任秘書暨電子工程系呂政修教授、國立臺灣科技大學科技管理所黃振皓助理教授。

Q2:「5G+產業新星揚帆啟航計畫」對未來產業將帶來哪些潛在的影響?

臺科大呂政修教授:5G產業的應用已不再是單一領域,需要集結跨域人才一同找出解方。當獵戶科技股份有限公司願意任用非本科系的研習生時,我想就已成功一半。因為產業需要整合有技術、創意與場域應用等各式人才,透過計畫讓學生能學到跨域知識,同時創造彼此的溝通機會,對未來推動5G產業發展將能激盪出更有創意的火花。

成大張御琦教授:產學合作是串起業界跟學界的橋樑。學生目前所面臨到的產業題目,多半都還是跟製程有關,但當全球都在倡議淨零碳排的此刻,實驗室所賦予他們的能力或許在不久的將來有機會導入到產業中,可以說在計畫的推動下,開始讓學生學習多元思考,從不同角度看問題,就能為產業未來的發展注入一股創意活水,創造產業與學界互利、共創價值的生態。

高科大陸瑞漢教授:我們所投入的產業比較專一,就是以天線技術為本位,相比其他應用領域可能需要的跨域人才,這塊所追求的反而是,在本職學能上的實際場域該如何落地應用。因此,在計畫的推動下,我相信能讓學生們更早了解在整個5G產業鏈中,筆電、移動裝置、電動車等不同應用上,天線的設計該如何發揮最佳效益,以求為產業未來發展取得最佳利基點。

陸瑞漢教授

Photo Credit:陸瑞漢教授提供

國立高雄科技大學電訊工程系所天線及微波工程實驗室陸瑞漢教授,分享產業與學界應如何互助合作,開創更多產業發展新機會。

企業靠計畫超前部署,培育5G場域人才應戰

Q3:您認為「5G+產業新星揚帆啟航計畫」的產學合作能如何紓解求才若渴的現象?

臺科大呂政修教授:我們希望能「以戰養才」,而這項計畫相比單點式的競賽而言,更具全面性及前瞻性。透過企業出題讓學生能將實驗室及課堂所學與實務結合,在了解產業問題之前也能洞察自己本職學能的不足,進而誘發學生主動求知的慾望,想必對未來5G產業的人才培育上將有長足的助益。

成大張御琦教授:我們有不少博士生加入這項計畫。過去社會整體氛圍一直對博士生有偏見、認為他們多以學術研究為主要任務,在實務經驗上相對缺乏,但我認為博士生的技術養成是條漫漫長路,同時也為培育未來人才帶來機會:產業能善用博士生的獨立思考和解決問題的能力訓練他們在本職學能上的深化,同時在實驗室研究計畫的時間管理上,也能發揮統御能力,例如掌握好碩士班學弟妹的研究進度,為未來成為管理職做準備,透過計畫是博士生領導力培養的最佳練兵場。

高科大陸瑞漢教授:我們已經與川升股份有限公司簽訂MOU,可以見得產業相當積極希望透過產學合作育才、留才。我也告訴實驗室的學生們,市場上不只有一個護國神山,其實還有許多領域值得去關注,並發揮解決問題的能力,所以我不認為市場上真的存在人才荒,反倒是企業應挹注資源與學界合作,儘早培育產業需要的人才技能;而學生也該透過這樣的訓練,找出自己的興趣,提早對未來職涯作出規劃,深度挖掘自己的潛能。

DSC_2623
Photo Credit:TNL Brand Studio
國立成功大學綠能元件實驗室的同學們一同參與本次訪談,分享自身參與學習經驗。

Q4:您如何看待「5G+產業新星揚帆啟航計畫」中,教授與學生其角色扮演的重要性?

臺科大黃振皓教授:學生比我們都還要積極爭取這項計畫的實習機會。對我們來說,學生在其中得到的不只是與業界溝通的能力,也能將經驗帶入研究計畫,並傳承給學弟妹為學習帶來更正向的影響;而作為教授,則是盡量讓學生自由發揮,確保學生在加入計畫後能獲得有系統的訓練,而這項計畫也確實為學生規劃了非常紮實的內容,這也是為什麼我會支持學生持續參與。

成大張御琦教授:技職體系的學生有比較多銜接產業的技能,我認為高教體系的教授應該要站在「鼓勵」的角度出發,讓學生能多參與這類讓學生可近距離接觸產業的計畫,提早培養跨域的技能與接觸相關環境,唯有教授願意放手讓學生嘗試,學生才會在求學過程中找出自己的興趣並學以致用,5G產業的多元性也才能遍地開花。

高科大陸瑞漢教授:身為教授非常贊成學生投入產學合作,但我認為參與計畫不應因噎廢食,反而要懂得學習時間分配,實驗室的計畫、論文的研究及實習的案子,都能帶來不同的學習與腦力激盪,不只是本職學能更是職場態度的磨練,每個角色對學生都充滿挑戰,能為實驗室裡注入活力,學生更應該要感激政府這類的人才培育計畫帶來的學習機會。

DSC_2816

Photo Credit:TNL Brand Studio

國立成功大學工程科學系綠能元件實驗室張御琦教授與參與「5G+產業新星揚帆啟航計畫」的實驗室學生。

計畫持續進行,助5G產業揚帆升級

面對學生加入這項「5G+產業新星揚帆啟航計畫」,教授們不約而同地認為從個人到實驗室,學生們都像是脫胎換骨般帶來了全新活力,對於知識的渴求也比過往更加積極,並且讓學弟妹們看見參與計畫帶來的前後改變。正因5G列車已經開始啟動,臺灣作為全球產業鏈中的要角,接棒人才更應持續強化技術量能保有即戰力、並更接地氣,而透過未見歇止的計畫推動,在這個趨勢浪潮上縱使產業發展仍充滿挑戰,但能攜手產官學各方力量,在不同場域中持續磨刀練兵,依舊能為下個新世代在5G產業裡找到自己發揮的舞台與新天地。

▶瞭解更多5G+產業新星揚帆啟航計畫,為5G職涯啟程做準備!

經濟部工業局 廣告


猜你喜歡