在大停電之後,思考《資安管理法》該怎麼保護我們的「關鍵基礎設施」

在大停電之後,思考《資安管理法》該怎麼保護我們的「關鍵基礎設施」
Photo Credit: Reuters/達志影像
我們想讓你知道的是

因為中油的疏失所產生全台灣的大停電,顯示台灣關鍵基礎設施非常脆弱。在這樣的背景之下,《資安管理法》不納入關鍵基礎設施是一種不負責任的做法,也不符合現代資訊國家資安法律的需求。

唸給你聽
powered by Cyberon

目前《資安管理法》已經在立法院通過一讀,是下一個會期的優先法案。外界有許多的批評,首先是關鍵基礎設施的部分。有某些專家學者認為這個法不應該納入關鍵基礎設施(CI, Critical Infrastructure),只要納入資訊關鍵基礎設施(CII, Critical Information Infrastructure )即可。

甚至有某些黨團認為完全不需要納入所有的關鍵基礎設施;因為認為關鍵基礎設施包括民間的廠商,類似消防檢查的資安稽核和通報,被無限上網為隨時隨地可以進入民間公司做行政檢查,是白色恐怖,所以不應該納入本法的範圍。

因為中油的疏失所產生全台灣的大停電,顯示台灣因為以反攻大陸復興基地為建設指導綱要之下的關鍵基礎設施非常脆弱。隨時準備要走的心態,為什麼要做好關鍵基礎設施的建設?在這樣的背景之下,《資安管理法》不納入關鍵基礎設施是一種不負責任的做法,也不符合現代資訊國家資安法律的需求。歐美許多國家在資安治理上納入管理關鍵基礎設施這一塊,這是世界資安的潮流,因為資訊安全是關鍵基礎設施重要的一環。

目前的爭議是在促進資安,還是在擾民或是增加民間公司負擔?關鍵基礎設施的台電無法供應電力,受害的主要不是台電,而是一般的社會大眾或其他經營的公司。當這樣的公司發生資安事件時,一般的民眾利益會受到傷害,為了公眾的利益有必要把關鍵基礎設施的廠商納入管理,要求其預算有一定比例的資安投資。

《資安管理法》是一部進步的法案,但是為什麼會引起許多的爭議,甚至被無限上綱地認為是白色恐怖,我覺得有兩個原因:

第一個原因是太強調處罰,尤其通報部分的處罰。企業對於資安事件的通報常常面臨一些困境,首先是規模小的資安事件不知道是否通報,若不通報每一事件可處以十到百萬的罰款。另外中等規模的資安事件,會影響企業的商譽,跟罰款比較起來,公司商譽的價值遠遠超過這個數字。最後大規模的自然事件,不用通報自然成為媒體追逐的焦點。通報這個部分施行起來,實務上並不容易,應該用較為軟性的SAC或是SOC來達成想要得到的目標。

其次是關鍵基礎設施廠商的納管名單,採用國土辦所設計的八大行業,許多政府單位可以建議納入控管的名單,這樣的方式打擊面太大,不是很合理。主管機關的政府單位資安能力不足,可能因為害怕或種種原因,利用這項法定建議權力造成某種寒蟬效應,或是沒有納入真正需要管理的關鍵基礎設施廠商。

本人建議行政院資安處應該勇於任事,納入關鍵基礎廠商名單由該處提出向行政院核定。尤其在立法之時,應該就要有這個納入關鍵基礎設施的廠商名單。考慮資安能量,這個名單應該要合理,依國家安全考量之下的資安協助納管,按照優先順序,只納入最重要的那些關鍵基礎設施廠商,然後每兩到三年在考慮資安能量,檢討此一名單。

當然基於國家安全的考量,這份名單的詳細內容不用公布,只要通知進入名單的那些廠商,告訴外界這份名單的產業和納入企業的家數即可。資安管理法是一部進步的法案,在全台大停電的晚上,擔心這個法案胎死腹中,或是取消關鍵基礎設施資安治理的部分,寫下這一篇文章,也算是合乎浪漫情境的詩情畫意。

本文由李忠憲授權轉載,原文發表於此

責任編輯:彭振宣
核稿編輯:翁世航

議員的一天:不質詢、也不審預算,開會為了「出席費」 - 議員衝啥毀:2018年你不能錯過的選舉專題
或許你會想看
更多『評論』文章 更多『政治』文章 更多『精選轉載』文章
Loader